Reaper : un super botnet d’objets connectés en devenir ?

Reaper s’attaque aux appareils connectés signés GoAhead, D-Link, Jaws, Netgear, Vacron, ou encore Linksys, entre autres. Il semble emprunter des éléments de code du tristement célèbre Mirai, qui avait largement fait parler de lui à l’automne 2016, mais il va au-delà.

Mirai utilisait des mots de passe laissés par défaut ; Reaper se concentre sur l’exploitation de vulnérabilités connues mais pour lesquelles les correctifs n’ont pas été appliqués – au nombre de 9 à ce stade. Reaper met en outre à profit un environnement intégré d’exécution LUA, l’ouvrant à des attaques évoluées et complexes.

A sa découverte, Reaper semblait prêt pour conduire une attaque en déni de service distribué par amplification DNS, en s’appuyant sur plus d’une centaine de relais résolveurs DNS ouverts. Mais rien de tel ne semble survenu à ce stade.

F5 continue toutefois de suivre de près les évolutions de Reaper. Mais pour les chercheurs de l’équipementier, « l’aspect intéressant de Reaper n’est pas sa taille actuelle, mais son ingénierie et, ainsi, son potentiel ». De fait, ils assurent déjà avoir identifié 750 000 appareils susceptibles d’être compromis par Reaper, et d’en découvrir rien moins que 85 000 de plus chaque jour ! Mais « quelques dizaines de vulnérabilités » supplémentaires connues pourraient être exploitées par les opérateurs de Reaper. Et là, selon les chercheurs de F5, le réseau pourrait s’étendre à 2,75 millions d’appareils supplémentaires, pour atteindre un périmètre potentiel de rien moins que 3,5 millions d’objets connectés.

Et cela pose la question de l’intention des opérateurs de Reaper, un mystère à ce stade. Car pour les chercheurs de F5, « la taille actuelle de Reaper est probablement limitée à ce que ses auteurs qu’elle soit. Pour l’heure, il semble que les auteurs expérimentent ».

Et d’avancer, trahissant un doute profond : « peut-être que Reaper n’est un projet de recherche. Nous ne savons pas, et c’est pourquoi nous le respectons ».