Aquabotv3 exploite activement une vulnérabilité connue dans les appareils Mitel pour les inclure dans son botnet, selon l’équipe de renseignement et de réponse d’Akamai.
Une troisième variante du malware Aquabot basé à Mirai reprend apparemment les téléphones Mitel pour créer un botnet télécommandé qui peut déclencher des attaques de déni de service distribuées (DDOS).
Surnommé Aquabotv3, le malware exploite activement une vulnérabilité connue dans les appareils pour accéder à leur fonction de protocole d’initiation (SIP) de session (SIP), selon l’équipe de renseignement et de réponse de la sécurité d’Akamai.
Fait intéressant, cette variante a une caractéristique unique et jamais vue (au moins dans Mirai): il rapporte quand il est détecté. L’équipe d’Akamai dit que le malware «présente un comportement que nous n’avons jamais vu auparavant avec Mirai»: sa fonction () alerte son serveur de commande et de contrôle (C2) lorsque le périphérique infecté tente de terminer le malware. Cependant, les chercheurs ont déclaré qu’ils n’avaient pas encore vu de réponse du C2.
« DDOS continue d’être une menace omniprésente pour de nombreuses organisations, et des botnets tels qu’Aquabot sont des acteurs clés dans ce domaine », a écrit les chercheurs en sécurité Akamai Kyle Lefton et Larry Cashdollar dans un article de blog. «Le ROI de Mirai pour un auteur de botnet en herbe est élevé. Mirai est l’une des familles de botnet les plus réussies au monde et est également l’une des plus simples à modifier. »
Une caractéristique unique – mais ce n’est pas nécessairement un avantage
Le Mirai Botnet a été conçu pour détourner les appareils Internet des objets (IoT) pour créer des botnets à distance qui peuvent lancer des attaques DDOS à volume élevé. Aquabot a été découvert pour la première fois en novembre 2023 par Antivirus Vendor Antiy Labs.
Aquabotv3 exploite une vulnérabilité d’injection de commande, CVE-2024-41710, qui cible spécifiquement les téléphones de la série Mitel 6800, 6900 et 6900W. Divulguée pour la première fois à la mi-juillet 2024, la vulnérabilité permet aux attaquants d’obtenir des privilèges administratifs et de falsifier les paramètres d’entrée pour accéder à des données sensibles. Cela peut leur permettre d’exécuter des commandes arbitraires spécifiques au système.
«Ces machines IoT manquent souvent de fonctionnalités de sécurité appropriées, sont à la fin du service ou sont laissées avec des configurations et des mots de passe par défaut par négligence, soit par manque de connaissances sur les dangers», a écrit Lefton et Cashdollar.
Ils ont noté que, à première vue, le malware semble être juste un «binaire malware standard Mirai avec des fonctions d’attaque DDOS typiques». Cependant, en regardant de plus près, ils ont découvert une fonction qui envoie un signal lorsqu’il détecte certaines actions de sécurité dans le périphérique infecté qui pourrait terminer le malware. Lorsqu’ils sont identifiés, Aquabotv3 les attrape, signale le malware comme «défendu» contre ce signal, puis relève de son C2.
« Nous n’avons jamais vu ce comportement auparavant dans une variante Mirai, donc peut-être que cela peut devenir une nouvelle fonctionnalité », ont écrit les chercheurs.
La vraie raison de ce comportement n’est pas encore confirmée, mais il pourrait être un moyen pour l’auteur de surveiller la santé du botnet. Une autre raison pourrait être l’observation intentionnelle de l’activité défensive d’un appareil afin que les attaquants puissent développer des «variantes plus furtives». Ou, il pourrait également être utilisé pour détecter des botnets concurrents actifs ou des campagnes de retrait éthique.
« Unique, cependant, n’est pas toujours le plus utile – ce malware n’était pas particulièrement silencieux, ce qui pourrait être à son détriment », a souligné Lefton et Cashdollar.
La lutte en cours contre les attaques DDOS basées à Mirai
Il y a un nombre incalculable de variantes de Mirai – les chercheurs les ont mis de seulement sept à plus de 200 – mais les sociétés de cybersécurité sont diligentes pour les éliminer.
Il y a à peine une semaine, par exemple, CloudFlare a déclaré qu’il avait détecté le plus grand DDOS jamais enregistré, une attaque de 5,6 térabits par seconde (TBPS) lancée par une variante Mirai. Il s’adressait à un fournisseur de services Internet asiatique (ISP) et provenait de plus de 13 000 appareils IoT. Il n’a duré que 80 secondes et a été rapidement identifié et atténué par les systèmes autonomes de CloudFlare.
« Cela ne nécessitait aucune intervention humaine, n’a déclenché aucune alerte et n’a provoqué aucune dégradation des performances », a écrit Cloudflare dans un blog la semaine dernière.
Dans un autre cas, des chercheurs de VulnCheck ont constaté que les attaquants utilisent le botnet Gayfemboy, basé sur Mirai Malware, depuis novembre 2024 pour attaquer les vulnérabilités inconnues dans des routeurs et des appareils à domicile intelligents.
De toute évidence, Mirai ne s’en va pas de si tôt, voire jamais, les attaques DDOS ne sont pas non plus. En fait, CloudFlare a signalé une augmentation de 53% des menaces DDOS en 2024 sur 2023 et une augmentation de 1885% des attaques dépassant 1 Tbps, surnommée «hyper-volumétrique» DDOS Attaques, entre les troisième et quatrième trimestres de 2024.
Aquabot annoncé comme DDOS-AS-A-SERVICE
Les chercheurs d’Akamai ont constaté que les créateurs d’Aquabotv3 ont annoncé le botnet en tant que DDOS en tant que service via des plates-formes telles que Telegram, sous différents noms, notamment le pare-feu de Cursinq, les services oculaires et le botnet pour les yeux.
Ils ont souligné que les acteurs de la menace affirment généralement que le botnet n’est pas nocif et que pour des fins de test d’atténuation DDOS (ou équipe rouge). « Les acteurs de la menace prétendront que c’est juste une preuve de concept (POC) ou quelque chose d’éducation, mais une analyse plus approfondie montre qu’ils font en fait de la publicité DDOS en tant que service, ou que les propriétaires se vantent de la gestion de leur propre botnet », a écrit Lefton et Cashdollar .
Dans tous les cas, les chercheurs ont souligné l’importance de sécuriser les appareils IoT qui sont encore configurés avec des informations d’identification par défaut. Étant donné que de nombreux botnets reposent sur des bibliothèques de mots de passe communes pour l’authentification, il est important de vérifier les informations d’identification de connexion et de les modifier si elles sont toujours définies par défaut ou sont faciles à deviner. En outre, les équipes de sécurité devraient identifier les appareils IoT connus et «vérifier les voyous également».
