Lorsque l'on parle botnet, on pense généralement à un réseau d'ordinateurs Windows infectés par un malware et dont l'utilisation est détournée à l'insu du propriétaire pour qu'un cybercriminel se livre à des actions répréhensibles du type spam ou attaque par déni de service distribué à l'encontre d'un site d'une société. On pense par contre beaucoup moins à un réseau de routeurs et de modems DSL corrompus, et pour cause ce botnet serait le premier du genre découvert par des chercheurs de DroneBL.
Pas que les machines Windows alors...
Ce spécimen de botnet est l'œuvre du travail accompli par le ver informatique dénommé psyb0t et aurait compté jusqu'à près de 100 000 membres. Selon DroneBL, le botnet a déjà été utilisé pour mener des attaques DDoS et le malware aurait notamment la capacité d'effectuer de l'inspection applicative (deep packet inspection) afin de récupérer des identifiants et mots de passe.
Le nuisible qui ne s'intéresse pas aux PCs ou aux serveurs a jeté son dévolu sur des routeurs matériels et des modems à architecture Mipsel et utilisant un système embarqué Linux. D'après DroneBL, est vulnérable tout dispositif de routage Linux Mipsel qui a son interface d'administration ou sshd ou telnet dans une zone démilitarisée (DMZ) et avec un mot de passe peu robuste.
Les symptômes de l'infection sont le blocage des ports 22, 23 et 80. Le cas échéant, il suffit pour supprimer le malware d'effectuer un hard reset, de modifier les mots de passe administrateur et de mettre à jour avec le dernier firmware disponible.
Si le botnet a apparemment été fermé, DroneBL commente :
" Cette technique est extrêmement préoccupante parce que la majorité des utilisateurs ne saura pas que leur réseau a été corrompu, ou que leur routeur est exploité. Cela signifie qu'à l'avenir, cela pourrait être un vecteur d'attaque pour le vol d'informations d'identification personnelles. Cette technique ne va pas disparaître. "