[BOTNET] Émergence d’un nouveau botnet IoT : Doubledoor

     Découvert par les chercheurs de la société américaine NewSky Security, Doubledoor cible les objets connectés. Ce botnet s’appuie sur deux exploits connus pour gérer deux niveaux d’authentification. Tout d’abord, le botnet exploite une vulnérabilité présente sur Juniper Networks (CVE-2015-7755) pour contourner l’authentification du pare-feu. Une porte dérobée est alors créée. Cette dernière va permettre aux attaquants d’accéder aux services Telnet et SSH des pare-feux. Ensuite, le botnet tente de mettre en place une porte dérobée sur les périphériques Zyxel PK5001Z en exploitant une vulnérabilité présente sur le modem Zyxel (CVE-2016-10401).

Ce botnet est difficilement repérable par les logiciels de détection de malwares. En effet,  les experts ont souligné que contrairement à d’autres botnets IoT tels que Satori ou Masuta, le botnet DoubleDoor utilise pas une chaîne de caractères aléatoire dans la phase de reconnaissance. L’absence de chaîne de caractères “standard” garantit aux attaquants que leur botnet sera très difficilement repérable. Les chaînes de caractères de Doubledoor ont cependant le même nombre de caractères que les autres botnets: 8 caractères.

Les attaques du botnet Doubledoor ont commencé à se propager à partir du mois de janvier 2018. Ces attaques provenaient principalement des IP sud coréennes. Contrairement à Mirai ou NotPetya qui ont conduit infecté des milliers d’objets et ont conduit à la paralysie de plusieurs sites majeurs, le risque associé reste faible. En effet, l’écosystème ciblé doit disposer d’une version non corrigée du pare-feu Juniper ScreenOS ou de modems Zyxel vulnérables.