Un nouveau botnet est apparu sur Internet. Actif depuis février dernier, le botnet, intitulé RustDuck, a été identifié par les chercheurs chinois de XLab. Comme la plupart des malwares de cet acabit, il vise des routeurs domestiques, des caméras IP, des boîtiers Android, et des serveurs mal protégés. Sans surprise, RustDuck s’en prend essentiellement à des appareils mal sécurisés par leurs propriétaires.
À lire aussi : 4 300 routeurs piratés – un mystérieux botnet exploite les appareils obsolètes dans une grande opération d’espionnage
Mots de passe faibles et failles de sécurité
Pour arriver à ses fins, le logiciel malveillant va en effet deviner des mots de passe par défaut ou trop faibles. Le rapport souligne que de nombreux appareils grand public restent accessibles depuis Internet avec des identifiants qui n’ont jamais été changés, ce qui ouvre grand la porte aux attaquants.
Ce n’est pas tout. Pour se propager à travers le web, RustDuck va aussi exploiter l’interface de débogage Android (ADB), un outil officiel de Google qui permet de contrôler à distance un appareil Android depuis un ordinateur. Malheureusement, l’outil reste parfois exposé sur Internet si l’appareil a été mal configuré lors de sa conception. Un appareil avec l’ADB activé et exposé sur internet, sans mot de passe ni restriction, permet à n’importe qui de s’y connecter à distance et d’exécuter des commandes. Enfin, le malware exploite également des failles connues touchant des équipements de marques comme TVT, Ruijie, TP-Link et ZTE. Bref, le virus dispose d’un vaste étalage de possibilités pour prendre de l’ampleur.
À lire aussi : 17 millions de PC, tablettes et smartphones piratés – un monstrueux botnet a été démantelé aux Pays-Bas
Un botnet qui évolue à une vitesse folle
Une fois que les défenses de l’appareil visé ont été contournées, un malware de type loader va s’installer. C’est ce virus qui va télécharger et installer, dans la plus grande discrétion, un module malveillant, à savoir RustDuck. Selon les investigations menées par XLab, les développeurs du botnet sont en train de réécrire intégralement le code. Les pirates ont décidé d’abandonner le langage de programmation C pour tout miser sur le Rust. Ce virage permet aux cybercriminels de concevoir des modules malveillants plus robustes, et plus difficiles à décortiquer pour les chercheurs. Les échantillons de RustDuck écrits en Rust « présentent une robustesse et une complexité de code plus élevées ».
À chaque nouvelle version, les chercheurs observent par ailleurs des méthodes de chiffrement et de camouflage plus sophistiquées, ainsi que des techniques renforcées pour échapper à la détection. De facto, « le déchiffrement du trafic à long terme est quasiment impossible ». Les chercheurs ont aussi découvert que RustDuck « intègre un mécanisme de notation dynamique du risque. Une fois que « le score de risque cumulé dépasse un seuil prédéfini, le programme effectue automatiquement un nettoyage de ses traces et se ferme ».
Un botnet au cœur d’attaques DDoS
Une fois que de nombreux appareils ont été compromis, les pirates vont se servir de RustDuck pour mener des attaques DDoS (Distributed Denial of Service) à l’encontre d’un site ou d’un service en ligne, jusqu’à le faire planter. Comme le souligne le rapport des chercheurs, le botnet se distingue par sa vitesse de propagation, ainsi que par la vitesse à laquelle il devient de plus en plus redoutable. Le virus a « rapidement évolué vers une forme complexe au fil des versions successives, en l’espace de quelques mois seulement ».
La meilleure défense contre RustDuck consiste à fermer les portes qu’il utilise pour entrer. Il est recommandé de retirer les interfaces d’administration à distance de l’accès public à Internet, de désactiver le débogage Android et de changer le mot de passe par défaut de votre appareil. Si votre appareil est obsolète, il faut impérativement le remplacer par une nouvelle solution.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : XLab

