Il y a deux semaines, le monde s’est ému de l’attaque menée contre le prestataire DNS Dyn, qui a mis à mal brièvement plusieurs sites Internet aux Etats-Unis. Pour prévenir ce genre de menaces, le site MalwareTech.com a mis en place un outil de surveillance avec un système de pot de miel (visant à attirer les attaques). Parmi les remontées d’alerte, le chercheur en sécurité Kevin Beaumont a trouvé un botnet, dénommé #14 et qui visait une grosse cible. L’attaque était particulièrement violente avec des pics de 500 Gbit/s sur des courtes durées. Ce botnet est de type Mirai, similaire à celui qui a provoqué la défaillance du prestataire DNS Dyn. Pour mémoire, le botnet Mirai était composé de 100 000 objets connectés.
Dans le cas de #14, Kevin Beaumont estime que ce botnet et celui utilisé pour Dyn ont le même propriétaire. Mais dans le cas de #14, l’expert a découvert qu’une des attaques furtives ciblait un Etat. En l’occurrence, il s’agit d’un pays africain, le Liberia. Coincé entre la Sierra Leone et la Côte d’Ivoire, il est connecté à Internet via un câble sous-marin posé en 2011 et qui irrigue l’ensemble du pays. Il constitue donc une proie facile.
Une attaque DDoS a bloqué par intermittence l’ensemble des sites Internet du pays, a rapporté un salarié du principal opérateur mobile du Liberia. « Le DDoS a tué notre business », précise le salarié en question. Pour Kevin Beaumont, « ce type d’attaques est particulièrement inquiétant, car elles suggèrent qu’un botnet Mirai peut avoir suffisamment d’impact pour faire tomber un Etat ».
Reste une question, qui se cache derrière ce botnet ? Pour Kevin Beaumont, il s’agit plutôt de pirates amateurs qui ont développé leur savoir-faire en utilisant le code source de Mirai mis en libre-service. Ils vendent ensuite des attaques DDoS à la demande sur la partie underground du web. Les attaques contre le Liberia seraient donc un échauffement pour vérifier que le botnet fonctionne et évaluer sa capacité de nuisance. Une explication peu rassurante qui appelle une autre réflexion : quel Etat sera le prochain sur la liste des tests et quel sera la puissance de l’attaque ?
A lire aussi :
Des services de Level 3 interrompus : une nouvelle attaque DDoS Mirai ?
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.