Un nouveau botnet a été identifié par GreyNoise, une plateforme de cybersécurité qui collecte et analyse des millions de données provenant d’adresses IP qui balaient Internet en continu. La plateforme a découvert qu’un réseau d’appareils compromis cherchait à s’étendre en visant les DVR TVT NVMS9000, un enregistreur vidéo numérique utilisé pour la vidéosurveillance. Développé par la marque TVT Digital, il permet de centraliser la surveillance de plusieurs caméras de sécurité depuis un ordinateur en stockant et gérant les vidéos.
A lire aussi : Un nouveau botnet s’attaque à des milliers de routeurs vulnérables
Une faille de sécurité critique exploitée
Pour prendre le contrôle des enregistreurs, les cybercriminels se servent d’une faille de sécurité critique, débusquée par SSD Secure Disclosure, une entreprise spécialisée dans la recherche de failles de sécurité l’année dernière. Celle-ci « fournit à des attaquants distants non authentifiés un large éventail d’informations sur l’appareil, incluant — sans s’y limiter — les identifiants (noms d’utilisateur et mots de passe) ainsi que la configuration réseau », indique la société israélienne. Avec ces données, il est évidemment aisé de prendre le contrôle d’un appareil. Les pirates obtiennent un accès complet pour lancer des commandes comme s’ils étaient des administrateurs.
GreyNoise indique avoir constaté « un pic significatif – 3 fois celui de l’activité typique — dans les tentatives d’exploitation » contre les enregistreurs. Le 3 avril, le nombre d’attaques a explosé avec plus de 2 500 adresses IP impliquées dans les tentatives de prise de contrôle. Le mois dernier, 6 600 adresses IP différentes ont été détectées par GreyNoise.
À lire aussi : 1 million d’appareils Android ont été piratés par Badbox 2.0, un gigantesque botnet
Un botnet proche de Mirai
Le botnet est basé sur le code source de Mirai, un redoutable malware apparu il y a presque une décennie. Le virus vise surtout les objets connectés, comme les caméras, les routeurs ou autres objets intelligents, en profitant d’identifiants par défaut ou de mots de passe trop faibles pour les pirater. Le nombre de botnets basés sur Mirai a explosé quand le code source du virus a été mis à disposition de tous les internautes. Une variante de Mirai est notamment à l’origine de la plus puissante attaque DDoS jamais vue, contrecarrée par Cloudflare.
Une fois qu’il a pris le contrôle des enregistreurs, le botnet va s’en servir pour mener des opérations malveillantes, comme des attaques DDoS. Les cybercriminels se servent aussi du réseau compromis sous leur coupe pour miner des cryptomonnaies à l’insu des propriétaires. La plupart des cyberattaques proviennent de Taïwan, du Japon et de la Corée du Sud. Elles visent surtout les appareils qui se trouvent aux États-Unis, au Royaume-Uni et en Allemagne.
Pour bloquer les cyberattaques, SSD Secure Disclosure recommande à tous les utilisateurs d’installer la version 1.3.4 du micrologiciel de leurs enregistreurs, ou une version ultérieure. Comme toujours, les botnets prolifèrent grâce aux appareils dépourvus de mises à jour de sécurité récente. C’est pourquoi il est essentiel de garder tous vos appareils à jour. Si un de vos appareils est obsolète, et n’a pas le droit à des correctifs, il est temps d’envisager son remplacement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Greynoise
