Des chercheurs ont révélé un malware multiplateforme inédit qui a infecté un large éventail d’appareils Linux et Windows, notamment des routeurs pour petits bureaux, des boîtiers FreeBSD et des serveurs de grandes entreprises.
Black Lotus Labs, la branche de recherche de la société de sécurité Lumen, appelle le malware Chaos, un mot qui apparaît à plusieurs reprises dans les noms de fonction, les certificats et les noms de fichiers qu’il utilise. Le chaos est apparu au plus tard le 16 avril, lorsque le premier cluster de serveurs de contrôle a été mis en service dans la nature. De juin à la mi-juillet, les chercheurs ont trouvé des centaines d’adresses IP uniques représentant des appareils Chaos compromis. Les serveurs intermédiaires utilisés pour infecter de nouveaux appareils se sont multipliés ces derniers mois, passant de 39 en mai à 93 en août. Mardi, le nombre a atteint 111.
Black Lotus a observé des interactions avec ces serveurs intermédiaires à la fois à partir d’appareils Linux embarqués et de serveurs d’entreprise, dont un en Europe qui hébergeait une instance de GitLab. Il existe plus de 100 échantillons uniques dans la nature.
« La puissance du malware Chaos découle de quelques facteurs », ont écrit les chercheurs de Black Lotus Labs dans un article de blog mercredi matin. « Premièrement, il est conçu pour fonctionner sur plusieurs architectures, notamment : ARM, Intel (i386), MIPS et PowerPC, en plus des systèmes d’exploitation Windows et Linux. Deuxièmement, contrairement aux botnets de distribution de rançongiciels à grande échelle comme Emotet qui exploitent le spam pour grandir, Chaos se propage à travers des CVE connus et des clés SSH forcées ou volées. »
Les CVE font référence au mécanisme utilisé pour suivre des vulnérabilités spécifiques. Le rapport de mercredi n’en mentionne que quelques-uns, notamment CVE-2017-17215 et CVE-2022-30525 affectant les pare-feu vendus par Huawei, et CVE-2022-1388, une vulnérabilité extrêmement grave dans les équilibreurs de charge, les pare-feu et les équipements d’inspection de réseau vendus par F5. . Les infections SSH utilisant le forçage brutal des mots de passe et les clés volées permettent également au chaos de se propager d’une machine à l’autre à l’intérieur d’un réseau infecté.
Chaos possède également diverses fonctionnalités, notamment l’énumération de tous les périphériques connectés à un réseau infecté, l’exécution de shells distants permettant aux attaquants d’exécuter des commandes et le chargement de modules supplémentaires. Combinées à la capacité de fonctionner sur une si large gamme d’appareils, ces capacités ont conduit Black Lotus Labs à soupçonner que Chaos « est l’œuvre d’un acteur cybercriminel qui cultive un réseau d’appareils infectés à exploiter pour l’accès initial, les attaques DDoS et la cryptographie ». l’exploitation minière », ont déclaré les chercheurs de l’entreprise.
Black Lotus Labs pense que Chaos est une émanation de Kaiji, un logiciel de botnet pour les serveurs AMD et i386 basés sur Linux pour effectuer des attaques DDoS. Depuis son apparition, Chaos a acquis une multitude de nouvelles fonctionnalités, notamment des modules pour de nouvelles architectures, la possibilité de fonctionner sous Windows et la capacité de se propager grâce à l’exploitation des vulnérabilités et à la collecte de clés SSH.
Les adresses IP infectées indiquent que les infections du Chaos sont les plus fortement concentrées en Europe, avec des points chauds plus petits en Amérique du Nord et du Sud et en Asie-Pacifique.
Laboratoires du Lotus noir
Les chercheurs de Black Lotus Labs ont écrit :
Au cours des premières semaines de septembre, notre émulateur d’hôte Chaos a reçu plusieurs commandes DDoS ciblant environ deux douzaines de domaines ou d’adresses IP d’organisations. Grâce à notre télémétrie globale, nous avons identifié plusieurs attaques DDoS qui coïncident avec la période, l’adresse IP et le port des commandes d’attaque que nous avons reçues. Les types d’attaques étaient généralement multi-vecteurs exploitant UDP et TCP/SYN sur plusieurs ports, augmentant souvent en volume au cours de plusieurs jours. Les entités ciblées comprenaient les jeux, les services financiers et la technologie, les médias et le divertissement, et l’hébergement. Nous avons même observé des attaques ciblant des fournisseurs de DDoS-as-a-service et un échange de crypto-minage. Collectivement, les cibles couvraient l’EMEA, l’APAC et l’Amérique du Nord.
Une société de jeux a été ciblée par une attaque mixte UDP, TCP et SYN sur le port 30120. Du 1er au 5 septembre, l’organisation a reçu un flux de trafic supérieur à son volume habituel. Une répartition du trafic pour la période avant et pendant la période d’attaque montre un flux de trafic envoyé au port 30120 par environ 12 000 adresses IP distinctes – bien qu’une partie de ce trafic puisse indiquer une usurpation d’adresse IP.
Laboratoires du Lotus noir
Quelques-unes des cibles comprenaient des fournisseurs de DDoS-as-a-service. One se présente comme un stresseur et un booter IP de premier plan qui offre un contournement CAPTCHA et des capacités DDoS de couche de transport « uniques ». À la mi-août, notre visibilité a révélé une augmentation massive du trafic environ quatre fois supérieure au volume le plus élevé enregistré au cours des 30 jours précédents. Cela a été suivi le 1er septembre par un pic encore plus important de plus de six fois le volume de trafic normal.
Agrandir / Volume d’attaques entrantes de l’organisation DDoS-as-a-service
Laboratoires du Lotus noir
Les deux choses les plus importantes que les gens peuvent faire pour prévenir les infections du Chaos sont de garder tous les routeurs, serveurs et autres appareils entièrement à jour et d’utiliser des mots de passe forts et une authentification multifacteur basée sur FIDO2 chaque fois que possible. Un rappel aux propriétaires de routeurs de petites entreprises partout dans le monde : la plupart des logiciels malveillants de routeur ne peuvent pas survivre à un redémarrage. Envisagez de redémarrer votre appareil toutes les semaines environ. Ceux qui utilisent SSH doivent toujours utiliser une clé cryptographique pour l’authentification.
