Abstrict About, Régicateur régional SAARC, A10 Networks
En octobre 2016, le botnet Mirai a ordonné à un certain nombre d'appareils, tels que des routeurs, des webcams, des DVR, des caméras IP, des thermostats, des enregistreurs vidéo numériques et d'autres appareils connectés à Internet, de déployer des charges utiles DDoS dépassant les débits de 1 Tbit/s. Les botnets ont été utilisés pour lancer des attaques DDoS massives afin de détruire des serveurs, des applications, des services et des sites Web. Il sembleMiraiil peut y avoir une certaine concurrence. Et son nom est WireX Botnet.
Google a récemment supprimé environ 300 applications de son Play Storeaprès que les chercheurs ont découvert que les applications en question détournaient secrètement les appareils Android pour alimenter le trafic vers des attaques par déni de service distribué (DDoS) à grande échelle contre plusieurs réseaux de diffusion de contenu (CDN) et fournisseurs de contenu.
Selon une équipe de chercheurs d'Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru et d'autres organisations, le botnet WireX est à blâmer.
Les chercheurs d'Akamai ont découvert WireX pour la première fois lorsqu'il a été utilisé pour attaquer l'un de ses clients, une multinationale du secteur hôtelier, en envoyant du trafic provenant de centaines de milliers d'adresses IP.
"Le botnet WireX comprend principalement des appareils Android exécutant des applications malveillantes et est conçu pour créer du trafic DDoS. Le botnet est parfois associé à des demandes de rançon adressées aux cibles", a écrit Cloudflare dans un article de blog.
WireX a utilisé les appareils piratés pour lancer des attaques DDoS volumétriques au niveau de la couche d'application, a noté Cloudflare. Le trafic généré par les nœuds d'attaque était principalement constitué de requêtes HTTP GET, bien que certaines variantes semblaient capables d'émettre des requêtes POST. En d’autres termes, le botnet produit un trafic ressemblant à des requêtes valides provenant de clients HTTP génériques et de navigateurs Web.
Les applications malveillantes en question comprenaient des lecteurs multimédias et vidéo, des sonneries et d'autres outils tels que des gestionnaires de stockage. Selon Gizmodo, les applications néfastes contenaient des logiciels malveillants cachés qui pouvaient utiliser un appareil Android pour participer à une attaque DDoS tant que l'appareil était allumé.
On ne sait pas exactement combien d'appareils ont été infectés : un chercheur a déclaré à KrebsOnSecurity que WireX avait infecté au moins 70 000 appareils, mais a noté que cette estimation était prudente. On pense que des appareils provenant de plus de 100 pays ont été utilisés pour participer aux attaques.
"Soixante-dix mille était une valeur sûre, car ce botnet fait en sorte que si vous conduisez sur l'autoroute et que votre téléphone est occupé à attaquer un site Web, il y a une chance que votre appareil apparaisse dans les journaux d'attaque avec trois, quatre, voire cinq adresses Internet différentes", a déclaré Chad Seaman, ingénieur principal d'Akamai, dans une interview avec KrebsOnSecurity. "Nous avons constaté des attaques provenant d'appareils infectés dans plus de 100 pays. Elles venaient de partout."
WireX, tout comme son prédécesseur Mirai, illustre l'importance de protéger votre réseau et vos applications contre les attaques. Les attaques à grande échelle peuvent provenir de n’importe où, même d’un botnet comprenant des dizaines de milliers d’appareils Android. À mesure que la fréquence, la sophistication et l’ampleur de ces types d’attaques augmentent, les organisations doivent mettre en place des solutions pour les arrêter avant qu’elles n’aient l’occasion de faire des ravages.
WireX est unique en ce sens qu'il introduit une nouvelle menace : les smartphones armés, qui introduisent des milliards de points de terminaison prêts à être infectés et capables de propager de mauvais agents sur un réseau mobile.
Traditionnellement, les réseaux mobiles et des fournisseurs de services sont protégés contre les attaques provenant d'Internet. Cependant, de nombreux composants critiques ne sont pas protégés, en partant du principe que les attaques seront stoppées à la périphérie d'Internet. Des attaques comme WireX changent ce paradigme.
« WireX prouve que les attaques peuvent également provenir de l'intérieur d'un réseau mobile, et que quelques milliers d'hôtes infectés peuvent affecter le cerveau d'un réseau mobile », a déclaré Yasir Liaqatullah, directeur de la gestion des produits d'A10. « Ces smartphones infectés finiront par attaquer les composants critiques des réseaux mobiles, et les conséquences potentielles pourraient être énormes. »
Les attaques comme WireX renforcent la nécessité pour les fournisseurs de services de protéger leurs actifs clés sur tous les fronts – non seulement contre les attaques venant de l’extérieur, mais également de l’intérieur.
Pour lutter contre les attaques comme WireX, les fournisseurs de services et les opérateurs de réseaux mobiles ont besoin d'une solution intelligente et évolutive.entre les smartphones et l'infrastructure du réseau mobile, tant interne qu'externe. Pour faire face à ce type d'attaque sophistiqué, une solution DDoS moderne nécessite des renseignements pour comprendre la nature changeante d'une attaque polymorphe, qui a la capacité de modifier les signatures et les en-têtes variables, comme celles lancées par WireX.
La mise en place d'une protection contre les menaces performante, évolutive et intelligente dans le réseau mobile aidera les fournisseurs de services à se défendre contre ces milliards de points de terminaison armés et leur permettra de détecter les menaces en ligne et les types d'attaques multivecteurs, d'en tirer des leçons et, surtout, de les arrêter.
Une approche à plusieurs niveaux garantira que l'ensemble de l'infrastructure des fournisseurs de services et des opérateurs mobiles – tant à l'intérieur qu'à l'extérieur – est protégée contre les menaces. En outre, une solution DDoS hautes performances peut protéger contre les attaques DDoS multivecteurs allant du mégabit au térabit, comme celles alimentées par WireX.
