Alors que l’on a à peine digéré le botnet Mirai, qui avait attaqué en mode DDoS (Distributed Deny of Service) de nombreux sites qu’il avait congestionnés, il semble que le petit dernier, Reaper, fasse encore mieux. Beaucoup mieux.

C’était prévisible. On savait que les objets et capteurs répartis sur Internet, ne sont pas bien protégés et peuvent servir de relais pour diffuser un trafic et empêcher de fonctionner les cibles. Ca été le cas du prestataire de Cloud OVH, par exemple, qui a dû faire face à un trafic supérieur à 1 Tbps, ce qui l’a empêché de travailler pendant plusieurs jours.

Cette fois, il semble que l’on aille beaucoup plus loin, car Reaper, en référence à l’ange de la mort qui « fauche tout sur son passage », s’est servi de près de deux millions de webcams connectées à Internet, mais aussi de caméras de sécurité et d’enregistreurs numériques pour pratiquer son forfait. Ce qui pourrait en faire le botnet le plus dangereux de l’histoire, qui comporte pourtant déjà quelques beaux spécimens en la matière.

Pour l’instant il n’a contaminé « que » un million de « devices », mais Reaper est encore loin d’avoir atteint son apogée et il faut donc s’attendre au pire.

Comparativement à Mirai, qui constitue un peu la référence et dont il a récupéré une partie du code, Reaper est plus sophistiqué, capable d’exploiter les vulnérabilités connues des objets et capteurs pour leur injecter le code malicieux. Il se comporte d’ailleurs comme un ver, car à chaque fois qu’un « device » est infecté, celui-ci répand le code malveillant vers d’autres capteurs fragilisés. Ce qui nous garantit une diffusion rapide, très difficile à enrayer tant que l’on ne connaît pas les détails techniques des modes d’infection. C’est en quelque sorte un botnet auto-adaptable en fonction des faiblesses exploitables. Ce que n’est pas Mirai.

Reaper a la capacité de s’étendre mondialement. Il n’est pas focalisé sur une faiblesse particulière mais peut s’adapter à toutes celles, susceptibles d’apparaître sur les « devices ». Il est donc plus que temps de traiter sérieusement le problème de la sécurité des objets.

 

Sur le principe les deux botnets n’agissent d’ailleurs pas de la même manière. Alors que Mirai tente de pénétrer un objet, une caméra, en essayant de casser le mot de passe qui le protège (force brute), Reaper est beaucoup plus sophistiqué et met en œuvre un arsenal technique infiniment plus complet.

Autre « avantage » par rapport à Mirai, Reaper reste actif au-delà du reboot des « devices » et s’adapte aux vulnérabilités au fur et à mesure où elles sont apparaissent.

Ainsi, le même Reaper saura croître et embellir avec ces vulnérabilités, les chercheurs estimant qu’actuellement il fonde son activité sur neuf faiblesses recensées et ceci quel que soit le fabricant des équipements relais, D-Link, Netgear, AVTech, etc.

On est en quelque sorte passé à une deuxième génération de ces calamités, car Reaper est capable de lancer des attaques à l’aide de scripts très sophistiqués, ce que ne pouvait pas faire Mirai.

Les botnets fondés sur ce code exécutable rattrape donc leurs grands-frères, qui font cela très bien, mais sur nos machines, qui elles ont une capacité de calcul sensiblement plus importante.

Selon les spécialistes de sécurité qui ont découvert le botnet ces jours-ci, le chinois Qihoo 360 et Checkpoint, nous ne sommes qu’aux tout débuts de l’épidémie.

Checkpoint a indiqué que 60% des réseaux qu’il surveille ont été infectés par Reaper, alors que Qihoo 360 faisait état de 10 000 machines, qui sur Internet communiquent en permanence avec le serveur de contrôle des hackers. Le problème étant que selon eux, il y aurait plusieurs millions de machines, placées en en file d’attente, pour leur faire participer le moment venu aux « joyeusetés de Reaper.

Décidément ce botnet a bien choisi son nom. Et nous aurons à coup sûr l’occasion de revenir prochainement sur ses méfaits.