Une nouvelle variante du botnet Gafgyt cible les serveurs cloud pour le minage de cryptomonnaie
Les chercheurs en cybersécurité ont découvert une nouvelle variante du botnet Gafgyt qui cible les machines avec des mots de passe SSH faibles pour finalement miner des cryptomonnaies à l’aide de leur puissance de calcul GPU compromise.
Cela indique que le « botnet IoT cible des serveurs plus robustes fonctionnant dans des environnements natifs cloud », a déclaré Assaf Morag, chercheur chez Aqua Security, dans une analyse publiée mercredi.
Un historique de ciblage de dispositifs vulnérables
Gafgyt (également connu sous les noms de BASHLITE, Lizkebab et Torlus), actif dans la nature depuis 2014, a un historique d’exploitation de mots de passe faibles ou par défaut pour prendre le contrôle de dispositifs tels que des routeurs, des caméras et des enregistreurs vidéo numériques (DVR). Il est également capable de tirer parti de failles de sécurité connues dans les dispositifs Dasan, Huawei, Realtek, SonicWall et Zyxel.
Ces dispositifs infectés sont regroupés dans un botnet capable de lancer des attaques par déni de service distribué (DDoS) contre des cibles d’intérêt. Des preuves suggèrent que Gafgyt et Necro sont exploités par un groupe de menace appelé Keksec, également connu sous les noms de Kek Security et FreakOut.
Une évolution constante des botnets IoT
Les botnets IoT comme Gafgyt évoluent constamment pour ajouter de nouvelles fonctionnalités, avec des variantes détectées en 2021 utilisant le réseau TOR pour masquer l’activité malveillante, ainsi que pour emprunter des modules au code source Mirai divulgué. Il est important de noter que le code source de Gafgyt a été divulgué en ligne au début de l’année 2015, alimentant ainsi l’émergence de nouvelles versions et adaptations.
Des attaques sophistiquées contre les serveurs SSH
Les dernières chaînes d’attaques consistent à forcer les serveurs SSH avec des mots de passe faibles pour déployer des charges utiles au stade suivant facilitant une attaque de minage de cryptomonnaie à l’aide de « systemd-net », mais pas avant de mettre fin aux logiciels malveillants concurrents déjà actifs sur l’hôte compromis.
Il exécute également un module de propagation, un scanner SSH basé sur Go nommé ld-musl-x86, chargé de balayer Internet à la recherche de serveurs mal sécurisés et de propager le logiciel malveillant à d’autres systèmes, étendant ainsi l’échelle du botnet. Cela implique SSH, Telnet, et les identifiants de connexion aux serveurs de jeux et aux environnements cloud comme AWS, Azure et Hadoop.
Un focus sur le minage de cryptomonnaie
« Le mineur de cryptomonnaie utilisé est XMRig, un mineur de Monero », a déclaré Morag. « Cependant, dans ce cas, le groupe de menace cherche à exécuter un mineur de cryptomonnaie en utilisant les indicateurs –opencl et –cuda, qui exploitent la puissance de calcul GPU et Nvidia GPU ».
Cette stratégie, combinée au fait que l’impact principal du groupe de menace est le minage de cryptomonnaie plutôt que les attaques DDoS, confirme que cette variante diffère des précédentes. Elle vise à cibler des environnements natifs cloud dotés de capacités CPU et GPU puissantes.
Des données recueillies en interrogeant Shodan montrent qu’il existe plus de 30 millions de serveurs SSH accessibles au public, il est donc essentiel que les utilisateurs prennent des mesures pour sécuriser ces instances contre les attaques par force brute et les exploitations potentielles.
Source : thehackernews.com