La moitié de l'Internet est down actuellement, Voici pourquoi (Mis à jour)
Dyn DNS est confronté à une attaque DDoS massives qui se traduit par une interruption de service généralisée. De nombreux sites sont confrontés à des temps d'arrêt partiel ou complet. Alors que Dyn DNS continue à faire face à l'attaque DDoS, les forces derrière le même restent inconnus.Serveurs de Dyn, une foule importante de DNS, connaît un déni massif de service distribué (DDoS). En conséquence, de nombreux sites comme Twitter, Spotify, etc. sont soit confrontés à des temps d'arrêt ou les utilisateurs sont confrontés à différents types de problèmes.Selon la page du Dyn DNS d'état, l'attaque a commencé à 11h10 UTC le vendredi 21 Octobre 2016. Alors que certains clients ont connu une augmentation des requêtes DNS de latence, d'autres aux prises avec des questions telles que la propagation de la zone retardée.Outre les sites mentionnés ci-dessus, les autres grands noms ayant des problèmes sont Reddit, Airbnb, Esty, Box, SaneBox, GitHub, Heroku, etc. Ces sites sont soit totalement down ou de subir des pannes partielles.
Ces dernières semaines, des hackers anonymes ont lancé l’une des plus grosses cyberattaques qu’Internet ait jamais connu. L'attaque, caractérisée par sa virulence et son échelle, a fait intervenir un large réseau de caméras piratées participant de ce que l’on nomme l’Internet des Objets (IoT).
Vendredi, le pirate qui s’attribue la paternité du malware a publié son code source, dont l’authenticité a été attestée.
Le code malveillant n’est pourtant pas très sophistiqué, selon les experts en sécurité qui l’ont étudié.
« L’individu ou les individus qui l’ont écrit se sont donné du mal. Il est plus complexe que le code médiocre que l’on trouve d’ordinaire dans des appareils de l’IoT, » nous explique Darren Martyn, l’un des chercheurs ayant examiné le malware de près. « Mais cela reste du code amateur. »
Le malware en question, baptisé Mirai, a été mis à disposition sur Hackforums par son créateur présumé, puis publié sur GitHub. Mirai est conçu pour scanner l'Internet et détecter les appareils vulnérables connectés à Internet qui utilisent le protocole telnet, et possèdent des login et mots de passe faibles par défaut tels que « admin, » et « 123456, » « root, » et « password, » voire « mother » et « fucker, » des identifiants utilisés par un autre réseau de bots constitué de routeurs piratés.
Un échantillon des combinaisons de nom
d’utilisateur et de mots de passe que le malware a cherché sur le réseau
afin de pirater les appareils vulnérables.
Une fois le logiciel malveillant a identifié les appareils
vulnérables, qui sont le plus souvent des caméras de surveillance, des
enregistreurs vidéo numériques ou des routeurs, il les infecte. Cela
donne à l'opérateur du logiciel malveillant un contrôle total des
appareils piratés et lui permet de lancer des attaques DDoS, comme celle
qui a frappé le site du journaliste Brian Krebs ou le fournisseur d'hébergement OVH, en utilisant diverses sources de trafic comme UDP, DNS, HTTP, voire des IP GRE.Le malware est conçu pour être utilisé comme un service de type DDoS-for-hire, comme l’indiquent les chaines de code : « Partager cet accès est interdit ! (…) Ne partagez pas vos informations d’identification ! »
Le code est rempli de blagues et d’entrefilets amusants, de mentions de mèmes célèbres, et même d’un lien YouTube pointant faire la fameuse vidéo de Rick Astley, « Never Gonna Give You Up. » C’est une façon pour l’auteur du code de se payer la tête des chercheurs et des experts en sécurité qui inspecteront le code pour le compte d’une institution ou du gouvernement.
Certains chercheurs ont noté que le code nécessitait quelques ajustements avant d'être lancé. Comme le chercheur en sécurité informatique MalwareTech nous l’a expliqué, la commande DDoS « se contentera de diffuser des conneries dans un langage ‘hacker’, sans déclencher d’attaque. » Une autre blague, sans doute.
« Ce code est de meilleure qualité que celui qu’on trouve généralement sur les appareils reliés à l’Internet des objets, mais cela reste du code amateur. »
Martyn précise que pour utiliser le malware publié, il faut en modifier la configuration. Cependant « n’importe qui pourrait y parvenir en trente minutes, s’il connaît un minimum son sujet. »
Fait intéressant, certaines parties du code malveillant présentent des commentaires rédigés en cyrillique, ce qui laisse penser que l'un des auteurs du code vient d'Europe de l’est.
De fait, le malware fonctionne toujours ; maintenant qu’il a été rendu public, il se propage comme une trainée de poudre. Si un logiciel malveillant de qualité médiocre est capable de générer l’une des attaques DDoS les plus virulentes de tous les temps, et compte tenu du triste état de la sécurité de l'Internet des objets en général, nous devrions nous préparer à des attaques toujours plus fréquentes sur notre réseau IoT supposément « intelligent. » Cela fait des mois qu’experts et journalistes mettent en garde contre la vulnérabilité de l’Internet des Objets, mais ces avertissements semblent n’avoir produit aucun effet.
« Je suis surpris qu’un code aussi simpliste puisse être à l’origine d’une telle attaque DDoS. Cela en dit long sur la sécurité de l’Internet des Objets, » explique un chercheur en sécurité surnommé Hacker Fantastic à Motherboard. « Si les gens ne se décident pas à changer les mots de passe par défaut et à désactiver telnet sur les équipements connectés à Internet, nous devons nous attendre à désastre. »
Les PC Zombies cachés:
Tous les PC allumés en permanence (que l'on laisse rouler la nuit),comme la gamme de PC fonctionnant sous Windows XP,certaine petite cie utilisent encore windows 3.11 dans leurs sous-sol, et ne se mettant plus a jour participe involontairement a des botnets actifs.Tous logiciels craqués incluant windows,des logiciels utilisant WinPcap ou installant un Gold Pack s'affichant lors du lancement du programme et sans votre accord contient tout les éléments pour vous faire hacker et devenir un zombie!
Par exemple en France ,Microsoft a tourné la page Windows XP en avril 2014 avec la fin du support étendu,c'est 9,11% des PC en septembre 2016.En avril 2015, Windows XP occupait 17% de la part du marché mondiale.
Lors du lancement de Windows 10. En janvier 2016, Windows XP est devancé par Windows 10 qui se place en deuxième position derrière Windows 744.Et pour windows Vista ce sera la fin des mises a jour , le 11 avril 2017,donc facilement vulnérable a devenir des PC zombies !Microsoft ne vous en parlera jamais car c'est une catastrophe de ne plus donner de service,et c'est la même chose pour tous les cellulaires qui sont sans mise a jour possible,nous vivons dans un monde jetable !
*
Les attaques
DDoS depuis un réseau d’objets connectés se multiplient. Level 3 a
détecté un botnet composé d’un million de caméras de surveillance.
Lancer des
attaques DDoS à l’aide d’une armée d’objets connectés à la solde de
cybercriminels n’est plus une fiction Le laboratoire de recherche de
menaces de l’opérateur Level 3 et la société de sécurité Flashpoint ont
travaillé de concert pour traquer les malwares qui visent les objets
connectés (via Internet) dans l’objectif de lancer des attaques par déni
de service. Attaques qui peuvent impacter n’importe quel serveur en
ligne et pas uniquement d’autres éléments propres à l’Internet des
objets (IoT).
Ces malwares permettant d’échafauder des bots se nomment notamment Lizkebab, BASHLITE, Torlus ou encore gafgyt. La détection de leur existence remonte même à début 2015, quand leur code a commencé à circuler. Depuis, il a donné naissance à plus d’une douzaine de variantes. Écrits en C, ces logiciels sont conçus pour être facilement compilables et touchent différentes architectures processeurs sous Linux. « Cela en fait une bonne option pour tourner sur des appareils IoT et autres systèmes embarqués qui utilisent souvent différentes architectures de processeurs pour se conformer aux exigences de coût et de puissance », remarque Level 3 sur son blog. Quand un terrain est propice au développement d’un bot, les pirates ne cherchent pas à identifier l’architecture de l’objet, mais lance l’exécution de plusieurs variantes du malware (une douzaine, rappelons-le) en espérant qu’il y en aura une qui se fera comprendre de leur hôte involontaire.
Plusieurs groupes de cybercriminels, comme Lizard Squad ou Poodle Corp, exploitent ou commercialisent déjà des botnets d’objets connectés pour lancer des attaques par déni de service distribué. Les réseaux de caméras de surveillance, et plus particulièrement les systèmes d’enregistrement numériques des vidéos (DVR), sont particulièrement prisés. Notamment parce que nombre d’entre eux sont déployés avec les identifiants de connexion fournis par défaut et que ces objets sont facilement détectables. Ensuite parce que la bande passante nécessaire au service de communication vidéo offre une capacité d’attaque intéressante aux DDoS
Ces malwares permettant d’échafauder des bots se nomment notamment Lizkebab, BASHLITE, Torlus ou encore gafgyt. La détection de leur existence remonte même à début 2015, quand leur code a commencé à circuler. Depuis, il a donné naissance à plus d’une douzaine de variantes. Écrits en C, ces logiciels sont conçus pour être facilement compilables et touchent différentes architectures processeurs sous Linux. « Cela en fait une bonne option pour tourner sur des appareils IoT et autres systèmes embarqués qui utilisent souvent différentes architectures de processeurs pour se conformer aux exigences de coût et de puissance », remarque Level 3 sur son blog. Quand un terrain est propice au développement d’un bot, les pirates ne cherchent pas à identifier l’architecture de l’objet, mais lance l’exécution de plusieurs variantes du malware (une douzaine, rappelons-le) en espérant qu’il y en aura une qui se fera comprendre de leur hôte involontaire.
Des attaques à plusieurs centaines de Gbit/s
Systématiquement, le malware implémente un module client/serveur standard. Ensuite, chaque botnet tente de conquérir d’autres objets en cherchant et en exploitant leurs failles de sécurité pour installer les souches infectieuses. Deux modes opérationnels sont utilisés. Le premier, classique, part à la recherche d’un serveur Telnet – administrant légitimement des objets – qu’il tente de pénétrer par force brute (une attaque du couple login/mot de passe). Le second, qui se généralise rapidement, passe en revue le réseau pour repérer de nouveaux objets ‘zombies’. « En dépit d’un manque de sophistication, beaucoup de ces botnets sont capables de produire de puissantes attaques », avance Level 3. Qui a pu constater des tsunamis de plusieurs centaines de Gbit/s lancées depuis ce type de botnets.En 2015, la plus grosse attaque DDoS enregistrée avait été de 334 gigabits par seconde, les récentes attaques montent à plus de 1 000 gigabits par seconde !Plusieurs groupes de cybercriminels, comme Lizard Squad ou Poodle Corp, exploitent ou commercialisent déjà des botnets d’objets connectés pour lancer des attaques par déni de service distribué. Les réseaux de caméras de surveillance, et plus particulièrement les systèmes d’enregistrement numériques des vidéos (DVR), sont particulièrement prisés. Notamment parce que nombre d’entre eux sont déployés avec les identifiants de connexion fournis par défaut et que ces objets sont facilement détectables. Ensuite parce que la bande passante nécessaire au service de communication vidéo offre une capacité d’attaque intéressante aux DDoS
Un million de DVR enrôlés dans un botnet
De fait, Level 3 et Flashpoint ont observé une attaque qui s’est emparée de plus d’un million de DVR, principalement à Taïwan, au Brésil et en Colombie. Dont une large majorité fournie par le constructeur Dahua Technology (que Flashpoint a bien évidemment alerté). Parmi les appareils enrôlés dans ce botnet, les deux partenaires ont déterminé que près de 96% étaient des objets connectés (dont 95% de caméras et DVR), tandis que les routeurs résidentiels ne représentaient environ que 4% des victimes ; les serveurs Linux pesant moins de 1%. « Cela constitue un changement radical dans la composition des botnets par rapport aux botnets DDoS composés de serveurs et routeurs résidentiels que nous observions par le passé », s’inquiète Level 3. La majorité des attaques déclenchées par ces réseaux zombies utilise classiquement les flux UDP et TCP pour noyer leurs victimes (particulièrement des sites et plates-formes de jeux en ligne) sous les requêtes. De plus, la plupart des attaques sont de très courte durée, à peine 2 minutes pour la plupart et moins de 5 minutes dans 75% des cas.Le pire reste à venir et internet est clairement menacé:
Certains câbles sous-marins par exemple datant du début du siècle sont à la limite des capacités de certaines attaques en termes de débit, ce qui signifie qu’il est possible de faire tomber l’internet de certains pays. A titre d’exemple, comme le montre le site Atlantico le câble « Lion » reliant Madagascar, La Réunion et l’île Maurice, a une capacité maximum de 1 280 gigabits par seconde, une telle attaque en plus du trafic internet normal, paralyserait tous ces pays. Les progrès exponentiels des cyberattaques et de la puissance de frappe vont plus vite que la capacité à adapter le réseau mondial, en théorie certains spécialistes évoquent déjà la possibilité qu’un jour le web mondial puisse être affecté par des attaques massives et demandent aux gouvernements d’agir plus efficacement sur le sujet.Certains pointent du doigt la Chine ou la Russie, mais il n’est pas impossible qu’un puissant groupe de cybercriminels se soit transformé en cyber-mercenaire, mettant leurs compétences et leurs botnets aux services de quelqu’un prêt à payer pour paralyser des sociétés, des pays et qui sait un jour, internet… Sombres perspectives !En savoir plus sur http://www.silicon.fr/internet-objets-service-ddos-156328.html#hkD6qRUq5vY5mzqT.99
Source.:
http://motherboard.vice.com/fr/read/un-malware-mediocre-suffit-a-pirater-l-internet-des-objets