Rakos, un nouveau botnet IoT en constitution

Comme le tristement célèbre malware Mirai, Rakos prend pour cible l’Internet des objets (IoT). Ces deux logiciels malveillants compromettent en effet des serveurs sous Linux et des réseaux d’appareils connectés. La capacité de nuisance de ces botnets contrôlés à distance est bien réelle. Si Mirai se propage essentiellement via les ports logiciels Telnet, Rakos vise lui les ports SSH. Les périphériques embarqués et les serveurs ayant un port SSH ouvert ou un mot de passe très faible sont les plus exposés. Rakos a été découvert cet été par les chercheurs de ESET.

À ce jour, Rakos est utilisé pour mener des attaques par force brute, indique l’entreprise dans un billet de blog. Et ce, afin d’ajouter d’autres appareils compromis à son réseau de machines zombies. Mais le programme pourrait également servir à mener des campagnes de spam ou des attaques par déni de service distribué (DDoS) d’ampleur, comme l’a fait Mirai.

Rakos dans Java

Rakos est écrit avec le langage Go et ses binaires sont compressés avec le standard UPX. Quand un terminal est compromis, Rakos lance un serveur web local et télécharge les binaires. Rakos « s’exécute à partir d’un répertoire temporaire, présenté comme faisant partie du framework Java : c’est ‘.javaxxx’ », indique l’éditeur ESET. Des données de la machine hôte sont transmises régulièrement au serveur de commande et de contrôle pour effectuer des opérations.

Jusqu’ici aucune activité malveillante de type attaque DDoS n’a été détectée à partir des périphériques contrôlés par Rakos. Mais cela pourrait se produire, selon les chercheurs. « Les victimes doivent sécuriser leurs informations d’identification SSH et doivent le faire après chaque réinitialisation d’usine », préviennent-ils.

Lire aussi :

A louer : un botnet Mirai de 400 000 objets pour lancer des DDoS
Un botnet Mirai s’attaque aux sites de Trump et Clinton

crédit photo © Maksim Kabakou / Shutterstock