Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS
En utilisant l'outil dédié LizardStresser
Le 2016-07-05 09:37:34, par Miary, Expert éminent
Le groupe Lizard Squad a encore fait parler de lui. Ce collectif de hackers a développé et commercialise un outil d’attaque DDoS (attaque par déni de service distribué) qui porte le nom de « LizardStresser ». Après le réseau Tor et des plateformes de jeux vidéo, le programme LizardStresser aurait été utilisé pour détourner des centaines de caméras de surveillance, dont la plupart sont localisées au Brésil. Les hackers ont pu ainsi créer un botnet pouvant faire des attaques de 400 Go de données par seconde. Pour information, un botnet est un réseau de programmes connectés à internet communiquant avec d’autres programmes similaires afin d’exécuter certaines tâches.
C’est Matthew Bing, un spécialiste en sécurité informatique travaillant pour le compte d’Arbor Networks, qui a découvert les séries d’attaques DDoS menées à partir de caméras de surveillance. Selon lui, les caméras de surveillance auraient envoyé des attaques de 400 Go de données par seconde. Elles auraient touché des sites appartenant à des organismes bancaires, des sociétés de télécommunication et des agences gouvernementales au Brésil. Des sociétés de jeux implantées aux États-Unis seraient aussi victimes de ces attaques DDoS.
Faisant partie des appareils IdO (Internet des Objets), les caméras de surveillance constituent une bonne cible pour les hackers. En effet, les systèmes d’exploitation qu’elles utilisent sont des versions simplifiées, certaines fonctions de sécurité sont ainsi manquantes. De plus, elles utilisent souvent des mots de passe par défaut qui peuvent être utilisés par plusieurs produits d’un même fabricant IdO. En effet, ces fabricants se servent souvent d’une même application ou d’un même composant électronique pour plusieurs produits. C’est justement cette faille que les hackers auraient exploitée pour contrôler les caméras de surveillance. Après analyse, Matthew Bing a affirmé que presque 90 % des caméras de surveillance sont gérées via l’outil NETSurveillance WEB, dont le mot de passe par défaut est disponible en ligne.
Dans cette série d’attaques DDoS, le spécialiste en sécurité informatique a remarqué que la plupart des caméras piratées se trouvaient au Brésil. Il évoque ainsi trois possibilités : soit l’outil DDoS LizardStresser a généré les adresses IP au hasard afin de mener une attaque par force brute, soit l’auteur des attaques DDoS a modifié le code source afin de cibler particulièrement le Brésil, soit la plupart des caméras de surveillance au Brésil sont accessibles via l’interface NETSurveillance WEB.
Le code LizardStresser a été utilisé pour réaliser des attaques de 400 Go par seconde sur de nombreux sites. Matthew Bing a remarqué qu’il n’y avait ni usurpation d’adresse IP ni utilisation de protocoles d’amplification UDP, comme le Network Time Protocol ou NTP. L’analyse d’une instance du code LizardStresser a aussi permis de mettre en avant le fait que les attaques DDoS évoluaient d’une minute à l’autre, passant d’une attaque de type HOLD flood, à une attaque UDP flooding puis à une attaque TCP flooding. Pour information, l’attaque UDP flooding entraîne une congestion du réseau et une saturation des ressources des deux hôtes victimes. Cela résulte du fait que le trafic UDP est prioritaire sur le trafic TCP. L’attaque TCP flooding, quant à elle, atteint les ressources par envoi massif d’accusés de réception.
Le code LizardStresser, développé par Lizard Squad, continue de faire des ravages et ces attaques DDoS mettent en avant la vulnérabilité des objets connectés. En effet, la plupart des utilisateurs ne prennent pas la peine de changer le mot de passe par défaut des dispositifs IoT, une faille qui a permis à l’outil LizardStresser de détourner des centaines de caméras de surveillance et d’en créer un grand botnet pour réaliser des attaques DDoS.
Source : Arbor Netwoks
Et vous ?
Voir aussi :
C’est Matthew Bing, un spécialiste en sécurité informatique travaillant pour le compte d’Arbor Networks, qui a découvert les séries d’attaques DDoS menées à partir de caméras de surveillance. Selon lui, les caméras de surveillance auraient envoyé des attaques de 400 Go de données par seconde. Elles auraient touché des sites appartenant à des organismes bancaires, des sociétés de télécommunication et des agences gouvernementales au Brésil. Des sociétés de jeux implantées aux États-Unis seraient aussi victimes de ces attaques DDoS.
Faisant partie des appareils IdO (Internet des Objets), les caméras de surveillance constituent une bonne cible pour les hackers. En effet, les systèmes d’exploitation qu’elles utilisent sont des versions simplifiées, certaines fonctions de sécurité sont ainsi manquantes. De plus, elles utilisent souvent des mots de passe par défaut qui peuvent être utilisés par plusieurs produits d’un même fabricant IdO. En effet, ces fabricants se servent souvent d’une même application ou d’un même composant électronique pour plusieurs produits. C’est justement cette faille que les hackers auraient exploitée pour contrôler les caméras de surveillance. Après analyse, Matthew Bing a affirmé que presque 90 % des caméras de surveillance sont gérées via l’outil NETSurveillance WEB, dont le mot de passe par défaut est disponible en ligne.
Dans cette série d’attaques DDoS, le spécialiste en sécurité informatique a remarqué que la plupart des caméras piratées se trouvaient au Brésil. Il évoque ainsi trois possibilités : soit l’outil DDoS LizardStresser a généré les adresses IP au hasard afin de mener une attaque par force brute, soit l’auteur des attaques DDoS a modifié le code source afin de cibler particulièrement le Brésil, soit la plupart des caméras de surveillance au Brésil sont accessibles via l’interface NETSurveillance WEB.
Le code LizardStresser a été utilisé pour réaliser des attaques de 400 Go par seconde sur de nombreux sites. Matthew Bing a remarqué qu’il n’y avait ni usurpation d’adresse IP ni utilisation de protocoles d’amplification UDP, comme le Network Time Protocol ou NTP. L’analyse d’une instance du code LizardStresser a aussi permis de mettre en avant le fait que les attaques DDoS évoluaient d’une minute à l’autre, passant d’une attaque de type HOLD flood, à une attaque UDP flooding puis à une attaque TCP flooding. Pour information, l’attaque UDP flooding entraîne une congestion du réseau et une saturation des ressources des deux hôtes victimes. Cela résulte du fait que le trafic UDP est prioritaire sur le trafic TCP. L’attaque TCP flooding, quant à elle, atteint les ressources par envoi massif d’accusés de réception.
Le code LizardStresser, développé par Lizard Squad, continue de faire des ravages et ces attaques DDoS mettent en avant la vulnérabilité des objets connectés. En effet, la plupart des utilisateurs ne prennent pas la peine de changer le mot de passe par défaut des dispositifs IoT, une faille qui a permis à l’outil LizardStresser de détourner des centaines de caméras de surveillance et d’en créer un grand botnet pour réaliser des attaques DDoS.
Source : Arbor Netwoks
Et vous ?
Voir aussi :
-
EscapetigerExpert éminent séniorCe n'est que le début, la suite de la saga des objets connectés. Il est déjà difficile "d'éduquer" le quidam moyen par rapport au numérique en général (PC, tablette, etc...) alors quand il s'agit de caméra IP ...
J’ai pris le contrôle de votre caméra et je vous ai retrouvés - Rue89 - L'Obsle 07/07/2016 à 12:23 -
"Consultant particulier en domotique", un métier d'avenir pour éviter que frigos et machines à laver connectées ne balancent des DDOS à tout-va?le 05/07/2016 à 18:05
-
TiranusKBXExpert confirméle problème n'est pas tant les objets connecté que le fait qu'ils le soient sur internet.
Mettre des caméras IP en direct sur internet rendait évident qu'elles soient piraté même si le piratage que l'on pense venir en premier et celui remplaçant les images envoyées pour tromper la surveillance.
Il n'empêche c'est un bon moyen d'exploiter la débilité des autres au profit d'un plus grand projetle 07/07/2016 à 9:04 -
nchalMembre expérimentéJe trouve ça plutôt ingénieuxle 05/07/2016 à 15:26
-
pierre++Membre actifBientôt se sera notre compteur électrique qui sera piratable grâce au Linky mis en place par ERDF, il faudra alors trouver un moyen pour prouver que la consommation électrique donné par celui-ci n'est la consommation réelle. Un bel exercice à prévoirle 07/07/2016 à 15:15
-
Le pire c'est que ces compteurs ne sont pas autistes, mais reliés par grappes en CPL...le 08/07/2016 à 0:54
-
Diarra1986Candidat au ClubC'est très ingénieux de la part des hackers. Cela sous-entend que l'informatique n'est pas un outil limité. On ne finira jamais de connaître tout.le 09/07/2016 à 13:35
-
jpa58Membre à l'essaiComme début et fin de mon message,
Je remercie Miary pour son excellent travail, aéré, explicite et très bienvenu
Tout est parfaitement étayé
Merci encore !le 09/07/2016 à 11:48 -
guericblanchonNouveau Candidat au ClubSuper rassurant. Mais pas mal intelligent de la part des hackersle 26/04/2022 à 17:03
-
SofEvansMembre émériteBig brother is DDOS you ...le 05/07/2016 à 12:08