Les experts en sécurité d’IBM X-Force ont découvert que le botnet Mozi représente désormais 90% du trafic des appareils IoT.
Mozi a évolué à partir des codes sources de familles de logiciels malveillants infâmes telles que Mirai, IoT Reaper et Gafgyt. Le botnet est capable d’attaques DDoS, d’exfiltration de données et d’exécution de commandes ou de charges utiles.
Les appareils IoT avec une sécurité faible, principalement des routeurs et des DVR non corrigés, sont recherchés par Mozi pour ajouter à ses rangs. Mozi a par le passé compromis des routeurs populaires, tels que ceux de Netgear, D-Link et Huawei.
Plutôt que de supprimer du marché les variantes de logiciels malveillants concurrentes, Mozi les a ajoutées tout en minimisant leur activité. IBM a constaté que les attaques IoT combinées entre octobre 2019 et juin 2020 sont 400% plus élevées que les deux années précédentes.
Les appareils IoT offrent la cible idéale pour les pirates. Ils prolifèrent rapidement – IDC estimant qu’il y aura 41,6 milliards d’appareils IoT connectés d’ici 2025 – et la précipitation pour battre les concurrents sur le marché laisse de sérieuses vulnérabilités.
«Mozi continue de réussir en grande partie grâce à l’utilisation d’attaques par injection de commandes (CMDi), qui résultent souvent d’une mauvaise configuration des appareils IoT», déclare IBM.
«La croissance continue de l’utilisation de l’IoT et des protocoles de configuration médiocres sont les responsables probables de ce saut. Cette augmentation peut avoir été alimentée par le fait que les réseaux d’entreprise sont plus souvent accessibles à distance en raison du COVID-19. »
IBM a observé que Mozi compromettait des périphériques en utilisant une commande shell «wget» pour télécharger un fichier appelé mozi.a qui est ensuite exécuté sur un microprocesseur. Les autorisations sont ensuite modifiées pour accorder à l’attaquant un contrôle total sur le système et des logiciels malveillants supplémentaires peuvent ensuite être téléchargés pour des types d’attaques spécifiques.
«Les systèmes embarqués IoT contiennent généralement une interface Web et une interface de débogage laissées par le développement de micrologiciels qui peuvent être exploitées», a écrit IBM dans une analyse.
«Deuxièmement, les modules PHP intégrés aux interfaces Web IoT peuvent être exploités pour donner aux acteurs malveillants une capacité d’exécution à distance. Et troisièmement, les interfaces IoT restent souvent vulnérables lorsqu’elles sont déployées car les administrateurs ne parviennent pas à renforcer les interfaces en nettoyant les entrées distantes attendues. Cela permet aux acteurs de la menace d’entrer des commandes shell telles que «wget». »
Mozi a été documenté pour la première fois à la fin de 2019. L’augmentation rapide du botnet, qui représentait 90% de tout le trafic des appareils IoT en moins d’un an, montre à quel point de graves vulnérabilités restent à résoudre.
«Au fur et à mesure que les nouveaux groupes de botnet, tels que Mozi, accélèrent les opérations et que l’activité globale de l’IoT augmente, les organisations utilisant des périphériques IoT doivent être conscientes de l’évolution de la menace», a conclu IBM.
(photo par Alessio Ferretti sur Unsplash)
Vous souhaitez entendre les leaders de l’industrie discuter de sujets comme celui-ci? Assistez à la colocation Expo 5G, Expo IoT Tech, Blockchain Expo, Salon IA et Big Data, et Cyber Security & Cloud Expo World Series avec des événements à venir dans la Silicon Valley, Londres et Amsterdam.