Botnet Reaper : le digne héritier de Mirai ?

Avertir avant qu’il ne fasse d’importants dégâts. C’est l’aspiration de chercheurs qui viennent de lever le voile sur un nouveau botnet d’objets connectés baptisé Reaper. Dans un billet de blog, ceux du Netlab de 360.cn expliquent qu’il est déjà « assez vaste » et « s’étend activement », même s’il n’en serait qu’aux débuts de son expansion : le suivi de plusieurs centres de commande et de contrôle, laisse entrevoir plusieurs dizaines de milliers d’objets connectés détournés, avec « plusieurs millions d’appareils potentiellement vulnérables dont les adresses IP sont gérées dans le système de commande et de contrôle dans l’attente d’être traités par un chargeur automatique qui injecte le code malicieux ». Selon Check Point, plus d’un million d’organisations dans le monde entier sont déjà concernées.

Reaper s’attaque aux appareils connectés signés GoAhead, D-Link, Jaws, Netgear, Vacron, ou encore Linksys, entre autres. Il semble emprunter des éléments de code du tristement célèbre Mirai, qui avait largement fait parler de lui à l’automne 2016. Mais il ne s’en contente pas.

Il ne cherche ainsi pas à utiliser des mots de passe laissés par défaut ; il se concentre sur l’exploitation de vulnérabilités connues mais pour lesquelles les correctifs n’ont pas été appliqués – au nombre de 9 à ce stade. Reaper met en outre à profit un environnement intégré d’exécution LUA, l’ouvrant à des attaques évoluées et complexes. Et en l’état, il semble prêt pour conduire une attaque en déni de service distribué par amplification DNS, en s’appuyant sur plus d’une centaine de relais résolveurs DNS ouverts. Mais pour l’heure, il ne semble pas y avoir encore de telle attaque conduite via Reaper.

Pour Laurent Pétroque, spécialiste des attaques DDoS chez F5 Networks, « une simple mise à niveau du mot de passe n’est pas suffisante pour se protéger du botnet, mais elle est tout de même fortement recommandée pour tous les appareils connectés à Internet. Pour empêcher la propagation de ce botnet, toutes les entreprises, et tous les consommateurs doivent s’assurer que leurs appareils connectés utilisent les toutes dernières versions logicielles bénéficiant des correctifs de sécurité ».