iconimage - Fotolia
Bricker Bot cherche à détruire des objets connectés
Les équipes de Radware ont découvert un botnet qui cherche à compromettre des objets connectés et à endommager leurs ressources de stockage pour les rendre inutilisable.
Ils l’ont baptisé Bricker Bot, pour mieux souligner qu’il vise à transformer les objets connectés vulnérables en vulgaires briques inutilisables. Ce sont les chercheurs de Radware qui ont observé ce botnet, sur leurs pots de miel, au travers de près de deux milles tentatives de compromission étalées sur une période de quatre jours.
Dans un billet de blog, les chercheurs expliquent que Bricker Bot tente d’abord de prendre le contrôle des objets connectés fonctionnant sous BusyBox, en visant leur service Telnet avec une liste d’identifiants par défaut : « le même vecteur que celui utilisé par Mirai ». Une fois le contrôle pris, le bot « exécute une série de commandes Linux qui conduisent à la corruption du stockage, suivies de commandes pour perturber la connectivité Internet, les performances, et effacer tous les fichiers sur l’appareil ». Le tout avant de le faire redémarrer.
Les attaques observées proviennent « d’un nombre limité d’adresses IP », toutes correspondant à des appareils exécutant une ancienne version du serveur SSH Dropbear. Selon Radware, la plupart d’entre eux seraient des points d’accès et des ponts Wi-Fi signés Ubiquiti.
Mais les équipes de Radware indiquent avoir parallèlement observé d’autres attaques procédant suivant la même logique, mais passant par des noeuds Tor et visant un éventail plus large d’objets connectés.
Radware formule plusieurs recommandations pour sécuriser ses objets connectés et éviter qu’ils ne soient transformés en briques. Elles valent aussi pour éviter qu’ils ne soient détournés à son insu. Et cela commence par le changement des identifiants par défaut.
Reste que le fonctionnement de Bricker Bot interpèle. Alors qu’un Mirai permettait d’instrumentaliser des objets connectés vulnérables à des fins malveillantes, et notamment pour lancer d’importantes attaques en déni de service distribué, ce nouveau botnet met finalement un terme à de tels détournements en empêchant purement et simplement des appareils connectés vulnérables de fonctionner.