Mēris, un botnet Ddos « d’un nouveau genre »

Mēris, un botnet Ddos « d’un nouveau genre »

On parle aujourd’hui beaucoup de ransomware, mais le chiffrement n’est pas la seule arme dont disposent les attaquants : il y a aussi les attaques ddos. Ces dernières semaines, plusieurs services web ont indiqué avoir été visés par des attaques portant la marque d’un nouveau botnet : le service Cloudflare a ainsi annoncé le 19 aout avoir été la cible d’une attaque d’ampleur, dont la puissance était estimée « trois fois supérieure » aux précédentes attaques connues. Quelques jours plus tard, c’était au tour du moteur de recherche russe Yandex d’annoncer avoir été visé par plusieurs attaques similaires, tout comme le site du chercheur en sécurité Brian Krebs ou plusieurs institutions bancaires russes. L’objectif final des attaquants n’est pour l’instant pas clair.

Derrière ces différentes attaques, les chercheurs de la société russe Qrator ont identifié un botnet baptisé « Mēris ». Ce réseau d’appareils compromis par un acteur tiers est utilisé pour lancer des attaques vers les cibles de son opérateur. L’attaque ayant visé Cloudflare a culminé à 17,2 millions de requêtes par seconde, quand celle ayant pris Yandex pour cible a atteint 21,8 millions de requêtes par seconde, des volumes records. Les mesures diffèrent des habituelles annonces concernant les attaques ddos, qui chiffrent le volume des attaques en Gigabit par seconde.

publicité

Volumétrique ou applicatif ?

En effet, contrairement aux attaques menées par les botnets basés sur le code source du logiciel malveillant Mirai, les attaques menées par Mēris ne visent pas à épuiser la bande passante de la cible, mais plutôt les capacités de traitement (mémoire vive ou capacité de calcul) des serveurs visés. Ce type d’attaque ddos, généralement désigné par le terme d’attaque visant la couche d’application, était resté en second plan au cours des dernières années, les cybercriminels ayant préféré exploiter des attaques visant la couche d’infrastructure, dites attaques volumétriques.

Pour Qrator, Mēris est un « botnet d’un nouveau genre » capable de s’appuyer sur un grand nombre de machines afin d’envoyer du trafic en apparence légitime aux appareils cibles en grande quantité, dans le but d’épuiser leurs capacités de traitement.

Dans le cas de Mēris, les appareils enrôlés dans le botnet tirent parti d’une fonctionnalité issue du protocole HTTP 1.1 baptisée HTTP Pipelining, qui leur permet de profiter d’une session ouverte avec le service web visé pour multiplier les requêtes que celui-ci devra traiter.

Le nombre exact de machines compromises au sein du botnet n’est pour l’instant pas clair : Qrator indique avoir identifié plus de 30 000 appareils compromis, Yandex 56 000, mais selon la société de cybersécurité, le chiffre total pourrait s’élever jusqu’à 250 000.

Une vieille faille fait le bonheur du botnet?

Une caractéristique apparaît néanmoins clairement : le botnet semble principalement constitué de routeurs de la marque Microtik ayant été compromis par les attaquants. La société a communiqué via un post sur son forum de support vendredi dernier : « Ces attaques utilisent les mêmes routeurs compromis en 2018, lorsque MikroTIK RouterOS avait une vulnérabilité, qui a été rapidement corrigée. Malheureusement, la correction de la vulnérabilité ne protège pas immédiatement ces routeurs. Si quelqu’un a obtenu votre mot de passe en 2018, une simple mise à jour ne suffira pas. Vous devez également modifier le mot de passe, revérifier votre pare-feu s’il n’autorise pas l’accès à distance à des tiers et rechercher les scripts que vous n’avez pas créés. »

En 2018, les routeurs MicroTIK avaient notamment été affectés par la faille CVE-2018-7445, qui permettait à un attaquant non authentifié sur l’appareil d’exécuter du code arbitraire. Cette faille pourrait être toujours exploitée sur des appareils ne disposant pas des dernières mises à jour, ou comme le suggère le support de MicroTIK, une réutilisation de mots de passe volés lors d’une précédente campagne d’exploitation.

Leave a Reply

Your email address will not be published. Required fields are marked *