Archives par mot-clé : honeypots

En 3 ans, le nombre d’attaques ciblant des objets connectés a augmenté de 13497%

Analyse des attaques ayant ciblé des « honeypots » simulant des objets intelligents durant 3 ans. Des attaques qui ont augmenté de 13 497%.

Depuis 3 ans, Doctor Web surveille et étudie les menaces actives ciblant l’Internet des objets. Pour cela, les experts ont mis en place un système d’appâts spécialisés appelés « Honeypots ». Ils imitent différents types d’IoT permettant d’observer les techniques et comportements d’attaques ciblant ces objets, tout en récupérant les malwares utilisés pour ces attaques, dans le but d’améliorer leur détection et faire face à la menace de manière plus efficace.

Elena Kostyuchenko, Senior Analyst Technical Writer, chez Doctor Web explique : « Doctor Web a mis en place plusieurs honeypots, établis dans différentes régions. Ils prennent en compte les protocoles classiques, Telnet et SSH, pour que les malwares puissent fonctionner, ainsi que toutes leurs caractéristiques possibles : modification de clés SSH, ajouts d’utilisateurs, téléchargement d’autres malwares, etc. Ces honeypots sont basés sur des solutions open-source, sur lesquelles nos experts apportent quelques modifications. Grace à ces systèmes, durant 3 ans nous avons pu analyser les malwares en récupérant leurs charges virales, étudier les lieux de diffusion, et cela nous permet de fournir des solutions de protection plus efficaces ».

Voici quelques-uns des principaux enseignements :

  • En 3 ans, le nombre d’attaques augmente de 13497 % : alors que l’activité observée en 2016 était faible, en seulement 4 mois, les experts recensaient déjà 729 590 attaques. Ce nombre se multiplie par 32 en 2017. Il ne cesse de croître considérablement. En 2018, ce sont plus de 99 millions d’attaques. L’année 2019 semble dépasser tous les records, avec plus de 75 millions d’attaques relvées durant les 6 premiers mois. 
  • L’origine de ces attaques est mondiale : les attaques proviennent de plus de 50 pays à travers le monde, et majoritairement des États-Unis et des Pays-Bas.
  • Des processeurs plus vulnérables que d’autres : les honeypots ont mis en évidence que les dispositifs ARM, MIPSEL et MIPS subissent le plus d’attaques.
  • Mirai, le Trojan le plus utilisé : datant de 2016, la diffusion de son code source dans le domaine public a provoqué très rapidement de nombreuses modifications. Mirai est le Trojan ciblant Linux le plus répandu et fonctionne sur de nombreux processeurs. Après avoir contaminé un appareil, il se connecte au serveur de gestion et attend d’autres commandes. Sa principale fonction est de lancer des attaques DDoS.
  • Plusieurs autres malwares très présents, avec des caractéristiques différentes : Hajime (propage un ver), BackDoor.Fgt (contamination d’IoT), ProxyM (assure l’anonymat des pirates), HideNSeek (contamine les IoT, génère des adresses IP auxquelles il essaie de se connecter par force brute)

Le rapport Dotor Web met en avant plusieurs tendances :

  • La disponibilité des codes sources de Trojans (Mirai, BackDoor.Fgt, BackDoor.Tsunami…) accentue l’apparition de nouveaux programmes malveillants.
  • Le nombre d’applications malveillantes écrites en langage de programmation « non standard » Go et Rust, ne cesse de croître.
  • De plus en plus d’informations sur les vulnérabilités des dispositifs sont accessibles, ce qui profite aux cybercriminels.
  • Les miners de cryptomonnaie (Monero) sont toujours populaires et utilisent les IoT.

Elena Kostyuchenko conclut : « Des milliards d’IoT sont aujourd’hui présents sur le marché.

Des proies faciles pour les attaquants : la sécurité est toujours très peu « by-design » et les vulnérabilités sont nombreuses. Le problème est que la plupart des utilisateurs pensent que ces objets sont sûrs. La sécurité n’a pas été intégrée, la mise à jour devient ensuite compliquée.

Si des efforts de sécurité (ce qui nécessite un investissement…) ne sont pas faits par les constructeurs, et a minima que des couches de sécurité complémentaires ne sont pas mises en place. Malheureusement il faut continuer à nous attendre à une recrudescence des logiciels malveillants ciblant les IoT ».

Le rapport complet de Doctor Web est disponible ici en français : https://news.drweb.fr/show/?i=13353