[FOCUS MALWARE] Dark_nexus, un nouveau botnet qui cible les objets connectés

Des chercheurs en cybersécurité de Bitdefender ont découvert un nouveau botnet ciblant les objets connectés. Baptisé « dark_nexus », il s’appuie sur des attaques de type credentials stuffing pour viser divers appareils tels que des routeurs, des caméras thermiques ou encore des enregistreurs vidéos numériques (DVR) afin de les intégrer à son réseau de botnets et organiser des attaques par déni de service (DDoS). À l’heure actuelle, Dark Nexus a compromis près de 1 400 objets connectés, dont la majorité se trouvent en Chine, en Corée du Sud, en Thaïlande, au Brésil et en Russie.

Un successeur redoutable aux botnets Mirai et Qbot 

Inspiré par les botnets Qbot et Mirai, ce nouveau malware aurait été développé par greek.Helios, un développeur de botnets réputé pour vendre des services DDoS et des codes sources de botnets sur divers réseaux sociaux (Instagram, Skype, et Discord entre autres). Dark Nexus repose toutefois sur des modules principalement originaux qui le rendent bien plus dangereux. Ses charges utiles sont en effet compilées pour 12 architectures de CPU différentes et livrées de façon dynamique suivant la configuration de la victime, ce qui lui permet de contaminer de nombreux types d’appareils différents pour mettre en place ses attaques. Une autre composante avancée de ce malware réside dans sa capacité à s’assurer la « suprématie » sur les autres logiciels malveillants qui peuvent être installés sur les dispositifs infectés. Dark Nexus s’appuie en effet sur un système de calcul de poids et de seuil qui lui permet d’identifier et de tuer les processus non reconnus. Ce malware n’aurait toutefois pas encore atteint son plein potentiel, les chercheurs de BitDefender qui suivent Dark Nexus depuis décembre 2019 ont effectivement identifié au moins 30 mises à jour du malware (de la version 4.0 à la version 8.6), la plus récente remontant au 11 mars 2020.

Propagation et Modus Operandi

Dark Nexus se propage principalement par la technique de force brute des services Telnet, c’est-à-dire qu’il teste un nombre important d’informations d’identification par défaut (credential stuffing) sur des dispositifs faiblement sécurisés. Une fois un compte identifié sur l’équipement cible, il continue son attaque en se basant sur deux modules, synchrones et asynchrones. Le premier agit tel un ver et envoie une charge utile au périphérique ciblé, le second remonte les informations d’authentification valides et l’adresse IP de la victime au serveur de commande et de contrôle (C&C) afin de recevoir les commandes d’attaque. Dans certaines versions, Dark Nexus exploite des vulnérabilités du serveur web JAWS présent dans certains DVRs et routeurs. En parallèle, il s’appuie sur différentes méthodes pour assurer sa persistance sur les appareils infectés. D’une part, il se dissimule en empruntant le nom « /bin/busybox », une technique empruntée au botnet Mirai qui le rend difficilement identifiable. D’autre part, il dispose d’une commande empêchant le dispositif infecté de redémarrer en arrêtant le service cron et en supprimant les privilèges des services qui pourraient être utilisés pour redémarrer l’équipement.

Identifier Dark Nexus et comment s’en protéger

L’investigation a en outre permis aux chercheurs de répertorier les adresses IP et les noms de domaines associés aux appareils infectés par le malware. Les indicateurs de compromission (IOC) ont également été importés sur la plateforme de développement GitHub sous la forme de hashs des fichiers rencontrés lors de leur enquête. A l’aide de ces éléments caractéristiques de ce nouveau malware, il est possible de vérifier si ses propres équipements ont été infectés et de mettre en place des mesures préventives.

Pour se protéger de ce nouveau malware et de tous logiciels malveillants, les utilisateurs d’objets connectés doivent :

  • Modifier les informations d’authentification administratives par défaut de leurs appareils 
  • S’assurer de la mise à jour du micrologiciel de leurs dispositifs connectés.

Quant aux entreprises et aux fournisseurs d’accès à Internet, ils doivent :

 (Source : BitDefender)