Un réseau de zombies est apparu ce weekend et a déjà enrôlé des milliers de dispositifs Android qui minent de la monnaie cryptographique pour le compte d’attaquants inconnus. L’annonce est de la firme de sécurité chinoise Netlab.
Netlab ne s’est pas étendu sur le processus d’infection, mais souligne que le logiciel malveillant qui anime les appareils infectés est doté de fonctionnalités de type ver similaires à celles observées avec le botnet Mirai. Les premiers signaux sont apparus le 3 février dernier. Netlab fait état de ce que les dispositifs Android qui ont leur interface de débogage ADB ouverte sont visés par les scans des zombies enrôlés dans le réseau malveillant. D’après la firme de sécurité, 2750 adresses IP uniques ont tapé à la porte de son système de monitoring. Entre le 3 et le 4 février, les systèmes de surveillance de la firme de sécurité ont détecté un total de 5000 adresses IP enrôlées, ce qui laisse penser qu’à ce jour on en compte probablement bien plus. D’après les chiffres publiés par Netlab, la Chine et la Corée du Sud pèsent pour 70 % des infections observées.
Les dispositifs infectés sont pour la plupart des téléviseurs connectés et des box Internet. Netlab se garde cependant d’en dire plus pour le moment, probablement pour éviter de donner des informations supplémentaires à d’autres cybercriminels plus vite qu’il ne faudrait.
Le fait que ce réseau de zombies s’appuie sur le code de Mirai est assez inquiétant. Les analyses relatives à Mirai ont montré que ce dernier se déploie sur des dispositifs vulnérables en analysant Internet en continu. Le logiciel va ainsi à la recherche des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en zombies. L’un des hic avec le logiciel malveillant est qu’il fait partie de ceux dont les pirates ont le plus modifié le code conférant à ce dernier des capacités de persistance rarement rencontrées. « Nous avions déjà récemment fermé les serveurs de C&C Mirai mensuellement, puis une fois par semaine. Désormais, nous les fermons toutes les quatre heures », soulignait Level 3 Communications (une société américaine spécialisée dans les télécommunications) en mars 2017.
Les individus derrière ce nouveau réseau de zombies ont décidé de s’en inspirer, mais ne feront pas dans le schéma classique des attaques par déni de service distribué. Le minage des monnaies cryptographiques a le vent en poupe et ces derniers ont décidé de combiner les capacités de Mirai à du code qui transforme les dispositifs infectés en mineurs de Moneros. D’après ce que rapporte la firme Netlab, les cybercriminels se sont déjà fait l’équivalent de 3 $. La somme est minable, ce qui laisse penser qu’ils iront encore plus à la recherche de puissance de calcul à mettre à contribution pour leur besogne. Moralité de l’histoire : garder son interface de débogage ADB fermée.
— À quel point selon vous le choix de l’nterface ADB constitue-t-il un puissant vecteur d’infection ?
— D’après vous la mise sur pied d’un logiciel malveillant qui use de l’interface ADB à de telles fins est-elle très complexe ?