Passer au contenu

Un botnet chinois a infecté plus de 260 000 appareils depuis 2020

Des pirates informatiques chinois ont compromis plus de 260 000 appareils dans le monde. Grâce à cet immense botnet, les hackers ont pu mener des cyberattaques, notamment contre l’armée et le gouvernement américains. Le FBI a finalement réussi à affaiblir le botnet, actif depuis des années, en supprimant le malware sur de nombreux appareils infectés…

Des cybercriminels chinois sont parvenus à prendre le contrôle de 260 000 appareils éparpillés dans le monde. D’après l’enquête menée par le FBI, et les conclusions des chercheurs de Black Lotus Labs, les pirates ont déployé un malware pour pirater une large sélection d’appareils connectés à Internet, comme des routeurs, caméras IP, et systèmes de stockage en réseau (NAS). L’infection s’est déroulée autour de mai 2020.

Avec ces appareils sous leur coupe, les pirates ont mis au point un immense botnet, baptisé Raptor Train. Pour mémoire, un botnet est un réseau d’ordinateurs ou d’appareils connectés à Internet, infectés par un logiciel malveillant, qui permet à un pirate de les contrôler à distance. Celui-ci est entré en activité courant 2021. 

À lire aussi : voici Ebury, le redoutable botnet qui a piraté 400 000 serveurs Linux en 15 ans

Des milliers d’appareils touchés en France

Comme l’indique le FBI dans son rapport, Raptor Train est présent sur des appareils situés un peu partout dans le monde, y compris en Europe. Plus de 5 000 appareils sous le contrôle du botnet se trouvent en France, ce qui représente un peu plus de 2 % des infections totales. Néanmoins, la plupart des appareils infectés ( plus de 47 %) se trouvent aux États-Unis. Sans surprise, le nombre d’appareils effectivement sous la coupe de Raptor Train fluctue dans le temps. Le réseau est parvenu à contrôler plus de 60 000 appareils en simultané en juin 2023.

Grâce à un botnet, les hackers sont en mesure de déployer d’autres cyberattaques. D’après les chercheurs de Black Lotus Labs, le botnet a été utilisé en décembre dernier pour mener des opérations de reconnaissance visant l’armée et le gouvernement américains, des fournisseurs de technologies de l’information et des bases industrielles de la défense situées aux États-Unis. Parmi les cibles de Raptor Train, on trouve aussi les secteurs de l’enseignement supérieur, des télécommunications et de l’informatique, principalement aux États-Unis et à Taïwan.

Entre 2021 et 2023, les chercheurs ont pu surveiller quatre campagnes d’expansion orchestrées par le biais de Raptor Train. Ces campagnes visaient à accroitre la puissance du réseau en compromettant de nouvelles salves d’appareils dans le monde. Comme l’explique Black Lotus Labs, « le botnet Raptor Train est un réseau complexe à plusieurs niveaux qui a évolué au cours des quatre dernières années ».

Le rapport indique que le botnet est théoriquement capable de déployer de redoutables attaques DDoS (Distributed Denial of Service, ou déni de service distribué). En se servant des appareils piratés, les hackers doivent pouvoir surcharger un serveur, un réseau ou un site web avec un trafic massif. Les chercheurs n’ont pas pu observer d’attaques DDoS menées par Raptor Train pour le moment. Ils soupçonnent que cette « capacité est conservée pour une utilisation future ». 

Les pirates de Flax Typhoon

Derrière cette opération d’envergure, on trouve les hackers de Flax Typhoon, un groupe soupçonné d’être lié à l’État chinois. Le gang, vraisemblablement financé par Pékin, a pu bénéficier de l’aide d’une entreprise chinoise, Integrity Technology Group. Cette société de cybersécurité est connue pour collaborer avec le pouvoir chinois.

Les activités de Raptor Train sont restées invisibles jusqu’à l’année dernière, trois ans après sa création. En 2023, les chercheurs de Black Lotus Labs ont fini par découvrir les opérations orchestrées par le biais du botnet.  Pour les experts ayant suivi la progression du virus, Raptor Train est « une opération très sophistiquée et à grande échelle ». 

La guerre contre les botnets chinois

Alerté par les chercheurs, le FBI s’est rapidement penché sur les agissements du réseau d’appareils compromis. Les agents fédéraux ont tout  mis en œuvre pour perturber les activités du botnet avec l’aide de Black Lotus Labs. Pour le moment, le fonctionnement du botnet a été en grande partie paralysé.

« Dans le cadre de cette opération, nous avons pu identifier des milliers d’appareils infectés, puis avec l’autorisation du tribunal, nous avons émis des ordres pour en supprimer les logiciels malveillants, les débarrassant ainsi de l’emprise de la Chine », explique Christopher Wray, le directeur actuel du FBI.

Cette offensive fait partie des efforts continus du FBI « pour mettre les botnets chinois hors ligne », ajoute le responsable. Lorsque le FBI a tenté de prendre le contrôle de l’infrastructure du botnet, les pirates ont réagi en lançant une cyberattaque contre leurs assaillants. Les hackers ont rapidement cessé de résister, ce qui a permis aux agents fédéraux de porter un coup majeur à Raptor Train.

C’est loin d’être la première fois que des pirates chinois se servent d’un botnet pour mener des opérations d’espionnage aux États-Unis. Il y a quelques mois, le FBI avait déjà démantelé un redoutable botnet de Volt Typhoon, un autre gang parrainé par Pékin. Là encore, ce botnet était programmé pour espionner des infrastructures américaines critiques, comme les usines de traitement de l’eau, le réseau électrique, les pipelines de pétrole et de gaz naturel et les systèmes de transport des États-Unis. Il visait surtout les routeurs obsolètes, dépourvus de mises à jour de sécurité. Ces attaques de botnets feraient partie des tentatives de cyberespionnage de la Chine.

Le problème des routeurs obsolètes

Pour éviter qu’un de vos appareils ne soit incorporé à un botnet, on vous recommande d’installer consciencieusement toutes les mises à jour déployées par les fabricants. Ces mises à jour vont combler les éventuelles failles de sécurité qui pourraient être exploitées par des attaquants. Par ailleurs, on vous conseille de remplacer tous les appareils obsolètes de votre domicile. Privés de mises à jour, ceux-ci sont des portes d’entrée pour les hackers. Enfin, prenez soin de redémarrer régulièrement tous vos appareils, y compris vos routeurs. Cette simple précaution permet de perturber une infection en cours.

Comme le souligne le FBI, les mises à jour ne suffisent malheureusement pas à se protéger d’un botnet. En effet, « bien que les appareils dont la date de fin de vie est dépassée soient connus pour être plus vulnérables aux intrusions, de nombreux appareils compromis sont probablement toujours pris en charge par leurs fournisseurs respectifs ».

En réaction, la Chine a fermement démenti les accusations formulées par le FBI. L’ambassade de Chine à Washington estime que les États-Unis ont « sauté à une conclusion injustifiée et fait des accusations infondées contre la Chine », rapporte Reuters. Elle affirme que Pékin lutte contre « toutes les formes de cyberattaques ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : FBI


Florian Bayard