Dans une de ses publications, parue il y a une semaine, la firme de sécurité Symantec affirmait qu’il est difficile d’estimer la taille du botnet P2P du malware Hajime. Elle avait toutefois estimé celle-ci à une dizaine de milliers de dispositifs IoT infectés entre octobre 2016 et avril 2017. Il semblerait cependant que cette estimation doive être revue à la hausse. En effet, la firme de sécurité Kaspersky Lab vient de faire une publication qui fait état d’une expansion plus importante du malware Hajime.« Ce ver met en place un vaste botnet P2P. Approximativement 300 000 objets connectés en font partie au moment où nous publions ce billet », peut-on lire sur le blog de Kaspersky Lab. Les chercheurs de la firme de sécurité Kaspersky affirment que cette rapide expansion est due à une mue constante du malware Hajime. « Hajime ne cesse d’évoluer, ses fonctionnalités sont constamment mises à jour », écrivent-ils alors. Ainsi, les dispositifs IoT enrôlés dans le botnet du malware Hajime se chiffreraient en centaines de mille.
Dans sa publication sur le malware Hajime, la firme Symantec avait indiqué que le malware attaque les dispositifs IoT par le biais de ports Telnet laissés libres d’accès. La firme Kaspersky signale qu’au-delà des attaques via les ports Telnet, les concepteurs du malware l’ont doté de deux vecteurs d’attaque supplémentaires depuis octobre 2016. Le plus récent de ces vecteurs d’attaque additionnels est l’exploitation de failles dans le standard TR-069 utilisé pour la gestion des réseaux large bande.
Le protocole TR-069 est, d’après la firme Kaspersky, utilisé par les fournisseurs d’accès Internet pour contrôler les modems à distance. Ce protocole fait usage du port TCP 7547, mais certains modems utilisent le port 5555. La firme Kaspersky explique que le malware Hajime met en œuvre un exploit qui utilise la fonctionnalité NewNTPServer pour exécuter des commandes arbitraires sur des dispositifs vulnérables et les enrôler dans son réseau de zombies.
En raison de la nature P2P du botnet du malware Hajime, un noeud du botnet peut tantôt jouer le rôle de client tantôt celui de serveur. Ainsi, il y a une phase d’infection dans laquelle le dispositif télécharge la configuration Hajime se faisant ainsi enrôlé, puis une phase de contamination où il transfère cette configuration à un autre dispositif IoT. L’équipe de chercheurs de Kaspersky Lab a dressé des statistiques concernant les dispositifs qui téléchargeaient la configuration Hajime au moment de leur prise de mesures sur le réseau.
Il en est ressorti qu’il y a eu un total de 297 499 infections par le malware Hajime. Les cinq pays les plus touchés sont l’Iran (19,65 %), le Brésil (8,8 %), le Vietnam (7,87 %), la Russie (7,49 %) et la Turquie (6,16 %).
Le malware Hajime apparemment conçu pour contrer le malware Mirai possèderait donc un domaine plus vaste qu’annoncé précédemment. Ledit domaine est appelé à s’étendre rapidement au vu de l’arsenal de techniques dont les concepteurs du malware le dotent. On est cependant en droit de se questionner sur les motivations véritables de ces derniers parce que même si des attaques par déni de service n’ont pas été enregistrées jusqu’ici, il n’en demeure pas moins que des dispositifs IoT sont enrôlés dans son botnet. Si l’on fait référence au mot japonais « Hajime » qui veut dire commencement, il ne nous reste plus qu’à espérer que ce à quoi on assiste ne soit pas la mise en place d'une vague d'attaques DDoS sans précédent.
Source : Securelist
Et vous ?
Qu'en pensez-vous ? Quelle appréciation faites-vous des éléments nouveaux apportés par la publication de la firme Kaspersky Lab.Voir aussi :
Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité, tandis que de nombreux zombies sont désactivés, d'autres prennent leur place