Un botnet basé sur Mirai appelé « Moobot » se propage de manière agressive en exploitant une faille d’injection de commande critique dans le serveur Web de nombreux produits Hikvision.
Hikvision est un fabricant chinois appartenant à l’État de caméras et d’équipements de surveillance que le gouvernement américain a sanctionné en raison de violations des droits de l’homme.
Cette vulnérabilité est identifiée comme CVE-2021-36260 et peut être exploitée à distance en envoyant des messages spécialement conçus contenant des commandes malveillantes.
Hikvision a corrigé la faille de retour en septembre 2021 avec une mise à jour du firmware (v 210628), mais tous les utilisateurs ne se sont pas précipités pour appliquer la mise à jour de sécurité.
Fortinet rapporte que Moobot exploite cette faille pour compromettre les appareils non corrigés et extraire des données sensibles des victimes.
Le processus infectieux
L’exploitation de la faille est assez simple, étant donné qu’elle ne nécessite pas d’authentification et peut être déclenchée en envoyant un message à un appareil vulnérable publiquement exposé.
Source : Fortinet
Parmi les différentes charges utiles qui exploitent CVE-2021-36260, Fortinet a trouvé un téléchargeur masqué en tant que « macHelper », qui récupère et exécute Moobot avec le paramètre « hikivision ».
Le malware modifie également les commandes de base telles que « reboot » afin qu’elles ne fonctionnent pas correctement et empêchera l’administrateur de redémarrer l’appareil compromis.
Une nouvelle version de Mirai
Les analystes de Fortinet ont repéré des points communs entre Moobot et Mirai, comme la chaîne de données utilisée dans la fonction de générateur de chaînes alphanumériques aléatoires.
De plus, Moobot présente quelques éléments de Satori, une variante différente de Mirai dont l’auteur a été arrêté et condamné à l’été 2020.
Les similitudes avec Satori incluent :
- Utilisation d’un téléchargeur séparé.
- Le fork du processus « /usr/sbin* ».
- Écraser le fichier « macHelper » légitime avec l’exécutable Moobot.
Il est essentiel de souligner que ce n’est pas la première fois que Moobot est repéré dans la nature, car les chercheurs de l’Unité 42 l’ont découvert pour la première fois en février 2021.
Cependant, le fait que le botnet ajoute toujours de nouveaux CVE indique qu’il est activement développé et enrichi d’un nouveau potentiel de ciblage.
Vous enrôler dans une armée DDoS
L’objectif de Moobot est d’intégrer l’appareil compromis dans un essaim DDoS.
Le C2 envoie une commande SYN flood avec l’adresse IP cible et le numéro de port à attaquer.
Source : Fortinet
Les autres commandes que le serveur C2 peut envoyer incluent 0x06 pour le flux UDP, 0x04 pour le flux ACK et 0x05 pour le flux ACK+PUSH.
En examinant les données de paquets capturées, Fortinet a pu retrouver un canal Telegram qui a commencé à offrir des services DDoS en août dernier.
L’inscription de votre appareil dans les essaims DDoS entraîne une augmentation de la consommation d’énergie, une usure accélérée et fait que l’appareil ne répond plus.
Le meilleur moyen de protéger vos appareils IoT contre les botnets est d’appliquer les mises à jour de sécurité disponibles dès que possible, de les isoler dans un réseau dédié et de remplacer les informations d’identification par défaut par des mots de passe forts.