[BOTNET] Un botnet IoT a compromis plus de 100 000 routeurs pour spammer des messageries électroniques

Au cours des deux derniers mois, un nouveau botnet IoT a émergé. Repéré par l’équipe de Netlab à Qihoo 360, le botnet exploite une vulnérabilité connue depuis cinq ans. Les mécanismes d’infection sont assez complexes : cette faille permet à un attaquant de concevoir un botnet IoT en exécutant du code malveillant à distance sur un routeur non sécurisé. Aucune authentification n’est requise. Les appareils infectés sont utilisés comme pivot pour en infecter d’autres. Cet effet boule de neige n’est pas la seule spécificité du malware. Selon Netlab, une autre fonctionnalité permettrait au botnet IoT d’utiliser les routeurs compromis comme des nœuds de proxy et donc des relais de connexions aux serveurs du ou des hackers vers des IPs distants. Le botnet se serait connecté à des adresses IP appartenant à des services de messagerie, dont Yahoo, Hotmail et Outlook. Ces connexions toutes réalisées à partir du port TCP 25 indiqueraient que le botnet IoT sert à bombarder de spams les utilisateurs de ces messageries. Netlab a surnommé ce dernier botnet BCMUPnP_Hunter. Le nom vient des scans constants du botnet à la recherche de routeurs avec des interfaces UPnP exposées (port 5431). 100 000 routeurs pour envoyer des spams sur les adresses mail Hotmail, Outlook et Yahoo.