Attaque DDoS : plus de 5000 objets connectés d'une université utilisée pour paralyser son propre réseau

Verizon donne des détails dans un rapport

Attaque DDoS : plus de 5000 objets connectés d’une université utilisés pour paralyser son propre réseau,
Verizon donne des détails dans un rapport

Après les nombreux incidents survenus avec le botnet Mirai qui a utilisé des milliers d’objets connectés comme machines esclaves pour lancer des attaques DDoS contre plusieurs infrastructures et sites web, les experts en sécurité n’ont de cesse de répéter inlassablement de mieux protéger les objets connectés à internet en remplaçant les mots de passe par défaut de ces objets par des mots de passe personnalisés et forts. Toutefois, en dépit de ces nombreux avertissements, certains préfèrent subir les conséquences de ces botnets avant de réaliser que ces alertes ne sont pas l’effet d’une paranoïa organisée, mais relèvent d’un véritable problème de sécurité.

Dans un récent rapport publié par Verizon, une université dont le nom n’a pas été cité a fait les frais d’une attaque menée à partir des objets connectés installés sur son réseau. Tout a débuté lorsque le centre d’assistance de l’université a commencé à recevoir un nombre croissant de plaintes de la part des étudiants de l’université au sujet d’une lenteur ou d’une inaccessibilité de la connexion internet. Après avoir effectué quelques investigations, l’équipe de sécurité IT réalise que les serveurs de noms responsables des vérifications des noms de domaine émettaient un volume élevé d’alertes et un nombre inquiétant de sous-domaines liés aux aliments de mer.

Bien évidemment, la majeure partie des étudiants sur le campus n’ont pas tous eu une envie soudaine de consommer les aliments de mer. L’équipe de sécurité IT de l’université a donc contacté le service de sécurité Verizon Risk TEAM afin de l’aider à démêler cette affaire. Sur suggestion de l’équipe de Verizon, le service IT de l’université a commencé à éplucher les journaux du réseau et du pare-feu à la recherche d’indices qui pourraient expliquer cette brusque montée en charge du trafic.

En analysant les fichiers du pare-feu, l’équipe IT a détecté que plus de 5000 appareils effectuaient des centaines de vérifications DNS toutes les 15 minutes. Et presque tous ces appareils se trouvaient sur le segment du réseau dédié à notre infrastructure IdO (Internet des Objets), a noté un des membres de l’équipe de sécurité IT de l’université. Plus inquiétant encore, tous les objets à partir des ampoules jusqu’aux distributeurs automatiques, ont été connectés au réseau pour faciliter la gestion et améliorer l’efficacité, ce qui impliquait une lourde charge de travail pour résoudre ce problème. Et malheureusement pour l'équipe IT, les systèmes de ces objets connectés qui sont censés être séparés du réseau ont été apparemment configurés pour utiliser les serveurs DNS dans un sous-réseau différent.

Un attaquant a exploité cette configuration pour paralyser le réseau de l’université avec un botnet qui s’est répandu sur le réseau de l'établissement en brute forçant les mots de passe faibles ou par défaut de ces objets connectés. Une fois le mot de passe d’un objet récupéré par le botnet, le logiciel malveillant vérifie l’infrastructure pour les mises à jour et change le mot de passe de l’appareil, ce qui lui a permis de se rendre maître de plus de 5000 appareils connectés.

Malgré tous les scénarios envisagés par l’équipe de sécurité IT de l’université pour faire face aux problèmes tels que le remplacement des serveurs d’application ou encore des infrastructures, cette dernière ne s’était pas apprêtée pour un tel incident lié aux objets connectés. Avec les conseils de l’équipe de Verizon, le service IT de l’université a pu intercepter les commandes envoyées via HTTP pour mettre à jour les mots de passe des appareils infectés. Si le pirate avait utilisé le protocole SSL pour envoyer ses commandes, la tâche de l’équipe de l’université aurait été encore plus compliquée pour stopper le botnet, car les commandes auraient été chiffrées ce qui n’aurait pas permis de mettre la main sur les nouveaux mots de passe utilisés par le pirate pour contrôler les appareils infectés. Fort heureusement, les commandes étaient envoyées en texte clair via HTTP.

Une fois les commandes interceptées, l’équipe de sécurité IT de l’université a interrompu l’accès au réseau pour les segments IdO et après quelques heures d’analyse a pu récupérer les nouveaux mots de passe utilisés par l’attaquant pour contrôler les objets connectés. Un script a été écrit par l’équipe de l’université pour se connecter au réseau, mettre à jour les mots de passe des appareils et enfin supprimer l’infection sur tous les appareils.

Une des leçons à retenir dans cette histoire est qu’il est indispensable de sécuriser ses objets connectés en supprimant le mot passe par défaut pour le remplacer par un mot de passe personnalisé et fort, car une fois infectés ces appareils peuvent servir à attaquer des réseaux tiers, mais aussi le réseau sur lequel ils sont installés comme on le constate avec cette université.

Source : Rapport Verizon (PDF)

Et vous ?

Que pensez-vous de cette attaque ?

Négligence humaine ou incident inévitable ?

Voir aussi

Deux pirates déclarent avoir mis en place un botnet Mirai de 400 000 machines esclaves qu'ils mettent en location pour mener des attaques DDoS
Une porte dérobée détectée dans 80 modèles de caméras Sony pourrait être exploitée par un botnet comme Mirai dans des attaques, un patch est fourni
Un chercheur a découvert un code malveillant sur des caméras IP vendues sur Amazon et qui peut entraîner une surveillance illégale
Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié