Des chercheurs de Microsoft ont découvert un botnet Windows-Linux éliminant Minecraft les serveurs en « très efficace » DDoS attaques.
Tel que rapporté par Ars Technica (s’ouvre dans un nouvel onglet)le botnet MCCrash envoie une commande qui remplit la boîte de dialogue de saisie du nom d’utilisateur dans la page de connexion d’un serveur Minecraft qui plante le serveur en épuisant ses ressources.
« L’utilisation de la variable env déclenche l’utilisation de Log4j 2 bibliothèque, qui provoque une consommation anormale des ressources système (non liée à [the] Vulnérabilité Log4Shell), démontrant une méthode DDoS spécifique et très efficace », ont écrit les chercheurs de Microsoft.
La portée massive du botnet MCCrash
Microsoft a également noté que MCCrash a la capacité de planter des serveurs exécutant une grande variété de versions du logiciel serveur du jeu.
C’est là que ça se complique un peu : MCCrash lui-même n’est codé en dur que pour cibler la version 1.12.2, mais la technique d’attaque est suffisante pour arrêter les serveurs exécutant les versions 1.7.2 à 1.18.2, ce qui Ars Technica estimations être environ la moitié de tous les services Minecraft en cours d’exécution aujourd’hui.
Patcher le logiciel serveur vers la version 1.9 rend la technique du botnet inefficace, mais même sans cela, Microsoft est reconnaissant que l’impact du botnet soit limité.
« Le large éventail de serveurs Minecraft à risque met en évidence l’impact de cette malware aurait pu avoir s’il avait été spécifiquement codé pour affecter les versions au-delà de 1.12.2 », ont écrit les chercheurs de Microsoft.
« La capacité unique de cette menace à utiliser des appareils de l’Internet des objets (IoT) qui ne sont souvent pas surveillés dans le cadre du botnet augmente considérablement son impact et réduit ses chances d’être détecté. »
Les points d’infection initiaux les plus courants pour MCCcrash sont les fenêtres machines qui ont installé un logiciel censé activer le système d’exploitation avec des licences illicites, mais qui contiennent principalement le logiciel malveillant qui, en retard, installe un script python qui fournit la logique du botnet.
Les appareils Windows infectés analysent ensuite Internet à la recherche d’appareils en cours d’exécution Distributions Linux tels que Debian, Ubuntu et CentOS, et utilisez les identifiants de connexion par défaut pour exécuter le même script .py sur ces nouveaux appareils, qui sont ensuite utilisés pour lancer des attaques DDoS sur les serveurs Minecraft et d’autres appareils.
Microsoft n’a pas révélé le nombre d’appareils infectés par MCCrash, mais Ars Technica prétend qu’une ventilation géographique révèle que beaucoup sont situés en Russie, faisant écho aux sentiments des Rapport Microsoft sur la défense numérique pour 2022qui affirme que le conflit russo-ukrainien est en partie motivé par la cybercriminalité.