La moitié de l'Internet est down actuellement, Voici pourquoi (Mis à jour)
Dyn DNS est confronté à une attaque DDoS massives qui se traduit par une interruption de service généralisée. De nombreux sites sont confrontés à des temps d'arrêt partiel ou complet. Alors que Dyn DNS continue à faire face à l'attaque DDoS, les forces derrière le même restent inconnus.Serveurs de Dyn, une foule importante de DNS, connaît un déni massif de service distribué (DDoS). En conséquence, de nombreux sites comme Twitter, Spotify, etc. sont
soit confrontés à des temps d'arrêt ou les utilisateurs sont confrontés à
différents types de problèmes.Selon la page du Dyn DNS d'état, l'attaque a commencé à 11h10 UTC le
vendredi 21 Octobre 2016. Alors que certains clients ont connu une
augmentation des requêtes DNS de latence, d'autres aux prises avec des
questions telles que la propagation de la zone retardée.Outre les sites mentionnés ci-dessus, les autres grands noms ayant des
problèmes sont Reddit, Airbnb, Esty, Box, SaneBox, GitHub, Heroku, etc.
Ces sites sont soit totalement down ou de subir des pannes
partielles.
Ces dernières semaines, des hackers anonymes ont lancé l’une des plus
grosses cyberattaques qu’Internet ait jamais connu. L'attaque,
caractérisée par sa virulence et son échelle, a fait intervenir un large réseau de caméras piratées participant de ce que l’on nomme l’Internet des Objets (IoT).
Vendredi, le pirate qui s’attribue la paternité du malware
a publié son code source, dont l’authenticité a été attestée.
« Il semble que les données publiées soient authentiques, »
explique Marshal Webb, chef de la technologie chez BackConnect, une
société proposant des solutions anti-DDoS qui a rassemblé et analysé des
échantillons du malware lors des dernières semaines.
Le code malveillant n’est pourtant pas très sophistiqué, selon les experts en sécurité qui l’ont étudié.
«
L’individu ou les individus qui l’ont écrit se sont donné du mal. Il
est plus complexe que le code médiocre que l’on trouve d’ordinaire dans
des appareils de l’IoT, » nous explique Darren Martyn, l’un des
chercheurs ayant examiné le malware de près. « Mais cela reste du code
amateur. »
Le malware en question, baptisé Mirai, a été
mis à disposition sur Hackforums par son créateur présumé, puis
publié sur GitHub. Mirai est conçu pour scanner l'Internet et détecter les appareils vulnérables connectés à Internet qui utilisent
le protocole telnet,
et possèdent des login et mots de passe faibles par défaut tels que «
admin, » et « 123456, » « root, » et « password, » voire « mother » et «
fucker, » des identifiants utilisés par
un autre réseau de bots constitué de routeurs piratés.
Un échantillon des combinaisons de nom
d’utilisateur et de mots de passe que le malware a cherché sur le réseau
afin de pirater les appareils vulnérables.
Une fois le logiciel malveillant a identifié les appareils
vulnérables, qui sont le plus souvent des caméras de surveillance, des
enregistreurs vidéo numériques ou des routeurs, il les infecte. Cela
donne à l'opérateur du logiciel malveillant un contrôle total des
appareils piratés et lui permet de lancer des attaques DDoS, comme celle
qui a frappé le site du journaliste
Brian Krebs ou le
fournisseur d'hébergement OVH, en utilisant diverses sources de trafic comme UDP, DNS, HTTP, voire des IP GRE.
Le malware est conçu pour être utilisé comme un service de type DDoS-for-hire, comme l’indiquent
les chaines de code : « Partager cet accès est interdit ! (…) Ne partagez pas vos informations d’identification ! »
Le code est rempli de blagues et d’entrefilets amusants, de mentions de
mèmes célèbres, et même
d’un lien YouTube
pointant faire la fameuse vidéo de Rick Astley, « Never Gonna Give You
Up. » C’est une façon pour l’auteur du code de se payer la tête des
chercheurs et des experts en sécurité qui inspecteront le code pour le
compte d’une institution ou du gouvernement.
« Ce code est de meilleure
qualité que celui qu’on trouve généralement sur les appareils reliés à l’Internet
des objets, mais cela reste du code amateur. »
Certains chercheurs ont noté que le code nécessitait
quelques ajustements avant d'être lancé. Comme le chercheur en sécurité
informatique
MalwareTech
nous l’a expliqué, la commande DDoS « se contentera de diffuser des
conneries dans un langage ‘hacker’, sans déclencher d’attaque. » Une
autre blague, sans doute.
Martyn précise que pour utiliser le
malware publié, il faut en modifier la configuration. Cependant «
n’importe qui pourrait y parvenir en trente minutes, s’il connaît un
minimum son sujet. »
Fait intéressant, certaines parties du code
malveillant présentent des commentaires rédigés en cyrillique, ce qui
laisse penser que l'un des auteurs du code vient d'Europe de l’est.
De fait, le malware fonctionne toujours ; maintenant qu’il a été rendu public, il se propage
comme une trainée de poudre.
Si un logiciel malveillant de qualité médiocre est capable de générer
l’une des attaques DDoS les plus virulentes de tous les temps, et compte
tenu du triste état de la sécurité de l'Internet des objets en général,
nous devrions nous préparer à des attaques toujours plus fréquentes sur
notre réseau IoT supposément « intelligent. » Cela fait des mois
qu’experts et
journalistes
mettent en garde contre la vulnérabilité de l’Internet des Objets, mais
ces avertissements semblent n’avoir produit aucun effet.
« Je
suis surpris qu’un code aussi simpliste puisse être à l’origine d’une
telle attaque DDoS. Cela en dit long sur la sécurité de l’Internet des
Objets, » explique un chercheur en sécurité surnommé Hacker Fantastic à
Motherboard. « Si les gens ne se décident pas à changer les mots de
passe par défaut et à désactiver telnet sur les équipements connectés à
Internet, nous devons nous attendre à désastre. »
Les PC Zombies cachés:
Tous les PC allumés en permanence (que l'on laisse rouler la nuit),comme la gamme de PC fonctionnant sous Windows XP,certaine petite cie utilisent encore windows 3.11 dans leurs sous-sol, et ne se mettant plus a jour participe involontairement a des botnets actifs.Tous logiciels craqués incluant windows,des logiciels utilisant WinPcap ou installant un Gold Pack s'affichant lors du lancement du programme et sans votre accord contient tout les éléments pour vous faire hacker et devenir un zombie!
Par exemple en France ,Microsoft a tourné la page Windows XP en avril 2014 avec la fin du
support étendu,c'est 9,11% des PC en septembre 2016.En avril 2015, Windows XP occupait 17% de la part du marché
mondiale.
Lors du lancement de
Windows 10. En janvier 2016, Windows XP est devancé par Windows 10 qui se place en deuxième position derrière Windows 7
44.Et pour windows Vista ce sera la fin des mises a jour , le 11 avril 2017,donc facilement vulnérable a devenir des PC zombies !Microsoft ne vous en parlera jamais car c'est une catastrophe de ne plus donner de service,et c'est la même chose pour tous les cellulaires qui sont sans mise a jour possible,nous vivons dans un monde jetable !
*
Les attaques
DDoS depuis un réseau d’objets connectés se multiplient. Level 3 a
détecté un botnet composé d’un million de caméras de surveillance.
Lancer des
attaques DDoS à l’aide d’une armée d’objets connectés à la solde de
cybercriminels n’est plus une fiction Le laboratoire de recherche de
menaces de l’opérateur Level 3 et la société de sécurité Flashpoint ont
travaillé de concert pour traquer les malwares qui visent les objets
connectés (via Internet) dans l’objectif de lancer des attaques par déni
de service. Attaques qui peuvent impacter n’importe quel serveur en
ligne et pas uniquement d’autres éléments propres à l’Internet des
objets (IoT).
Ces malwares permettant d’échafauder des bots se nomment notamment
Lizkebab, BASHLITE, Torlus ou encore gafgyt. La détection de leur
existence remonte même à début 2015, quand leur code a commencé à
circuler. Depuis, il a donné naissance à plus d’une douzaine de
variantes. Écrits en C, ces logiciels sont conçus pour être facilement
compilables et touchent différentes architectures processeurs sous
Linux.
« Cela en fait une bonne option pour tourner sur des
appareils IoT et autres systèmes embarqués qui utilisent souvent
différentes architectures de processeurs pour se conformer aux exigences
de coût et de puissance », remarque Level 3 sur
son blog.
Quand un terrain est propice au développement d’un bot, les pirates ne
cherchent pas à identifier l’architecture de l’objet, mais lance
l’exécution de plusieurs variantes du malware (une douzaine,
rappelons-le) en espérant qu’il y en aura une qui se fera comprendre de
leur hôte involontaire.
Des attaques à plusieurs centaines de Gbit/s
Systématiquement, le malware implémente un module client/serveur
standard. Ensuite, chaque botnet tente de conquérir d’autres objets en
cherchant et en exploitant leurs failles de sécurité pour installer les
souches infectieuses. Deux modes opérationnels sont utilisés. Le
premier, classique, part à la recherche d’un serveur Telnet –
administrant légitimement des objets – qu’il tente de pénétrer par force
brute (une attaque du couple login/mot de passe). Le second, qui se
généralise rapidement, passe en revue le réseau pour repérer de nouveaux
objets ‘zombies’.
« En dépit d’un manque de sophistication, beaucoup de ces botnets sont capables de produire de puissantes attaques », avance Level 3. Qui a pu constater des tsunamis de plusieurs centaines de Gbit/s lancées depuis ce type de botnets.En 2015, la plus grosse attaque DDoS enregistrée avait été de 334
gigabits par seconde, les récentes attaques montent à plus de 1 000
gigabits par seconde !
Plusieurs groupes de cybercriminels, comme Lizard Squad ou Poodle
Corp, exploitent ou commercialisent déjà des botnets d’objets connectés
pour lancer des attaques par déni de service distribué. Les réseaux de
caméras de surveillance, et plus particulièrement les systèmes
d’enregistrement numériques des vidéos (DVR), sont particulièrement
prisés. Notamment parce que nombre d’entre eux sont déployés avec les
identifiants de connexion fournis par défaut et que ces objets sont
facilement détectables. Ensuite parce que la bande passante nécessaire
au service de communication vidéo offre une capacité d’attaque
intéressante aux DDoS
Un million de DVR enrôlés dans un botnet
De fait, Level 3 et Flashpoint ont observé une attaque qui s’est
emparée de plus d’un million de DVR, principalement à Taïwan, au Brésil
et en Colombie. Dont une large majorité fournie par le constructeur
Dahua Technology (que Flashpoint a bien évidemment alerté). Parmi les
appareils enrôlés dans ce botnet, les deux partenaires ont déterminé que
près de 96% étaient des objets connectés (dont 95% de caméras et DVR),
tandis que les routeurs résidentiels ne représentaient environ que 4%
des victimes ; les serveurs Linux pesant moins de 1%.
« Cela
constitue un changement radical dans la composition des botnets par
rapport aux botnets DDoS composés de serveurs et routeurs résidentiels
que nous observions par le passé », s’inquiète Level 3. La majorité
des attaques déclenchées par ces réseaux zombies utilise classiquement
les flux UDP et TCP pour noyer leurs victimes (particulièrement des
sites et plates-formes de jeux en ligne) sous les requêtes. De plus, la
plupart des attaques sont de très courte durée, à peine 2 minutes pour
la plupart et moins de 5 minutes dans 75% des cas.
Le pire reste à venir et internet est clairement menacé:
Certains câbles sous-marins par exemple datant du début du siècle sont à
la limite des capacités de certaines attaques en termes de débit, ce
qui signifie qu’il est possible de faire tomber l’internet de certains
pays. A titre d’exemple, comme le montre le site
Atlantico
le câble « Lion » reliant Madagascar, La Réunion et l’île Maurice, a
une capacité maximum de 1 280 gigabits par seconde, une telle attaque en
plus du trafic internet normal, paralyserait tous ces pays. Les progrès
exponentiels des cyberattaques et de la puissance de frappe vont plus
vite que la capacité à adapter le réseau mondial, en théorie certains
spécialistes évoquent déjà la possibilité qu’un jour le web mondial
puisse être affecté par des attaques massives et demandent aux
gouvernements d’agir plus efficacement sur le sujet.Certains pointent du doigt la Chine ou la Russie, mais il n’est pas
impossible qu’un puissant groupe de cybercriminels se soit transformé en
cyber-mercenaire, mettant leurs compétences et leurs botnets aux
services de quelqu’un prêt à payer pour paralyser des sociétés, des pays
et qui sait un jour, internet… Sombres perspectives !
En savoir plus sur
http://www.silicon.fr/internet-objets-service-ddos-156328.html#hkD6qRUq5vY5mzqT.99
Source.:
http://motherboard.vice.com/fr/read/un-malware-mediocre-suffit-a-pirater-l-internet-des-objets