Des pirates offrent un botnet de 400 000 bots à louer

By | November 25, 2016

Des pirates offrent un botnet de 400 000 bots à louer

Deux hackers proposent en ce moment sous forme de service un accès à une variante du botnet Mirai possèdant près de 400 000 bots infectés.

Après la publication du code source du malware Mirai, d’autres pirates s’en sont emparé pour créer d’autres botnets sur la Toile.
Deux hackers ont particulièrement attiré l’attention de BleepingComputer. Il s’agit de BestBuy et Popopret qui ont notamment réalisé une publicité hier de leur botnet à travers une campagne spam menée via XMPP/Jabber. Ces derniers proposent de louer leur botnet comme un service à quiconque souhaiterait lancer une attaque DDoS et qui serait disposé à payer. Dans leur campagne publicitaire, ils soulignent que leur botnet a été créé à partir du malware Mirai et possède près de 400 000 bots.

Campagne publicitaire du botnet par les hackers

Ces deux hackers semblent être des experts. En effet, ils sont les auteurs du malware GovRat,
utilisé à plusieurs reprises pour voler des données à plusieurs agences gouvernementales
américaines. Popopret et BestBuy ont aussi fait parti d’un groupe de hackers actifs dans le forum Hell Hacking. Ce dernier, ayant été considéré comme le lieu de rendez-vous de plusieurs hackers d’élite.

Par ailleurs, ils ont révélé à BleepingComputer que le botnet peut être loué pour une période d’au moins deux semaines. Le prix est déterminé en fonction du nombre de bots, de la durée d’attaque et du temps de refroidissement.

Par exemple, le prix d’un botnet de 50 000 bots, avec une durée d’attaque de 3600s et un temps de refroidissement de 5 à 10 minutes, serait entre 3000 et 4000 $.

Une fois un accord trouvé entre l’acheteur et les deux hackers, un url en onion lui sera fourni. Cette adresse est en fait l’adresse de l’arrière-plan (backend) du botnet à partir duquel, l’acheteur pourra se connecter et lancer ses attaques via Telnet.

Innovations du botnet de BestBuy et Popopret

Le botnet Mirai originel était limité à 200 000 bots. Selon 2sec4u, chercheur en sécurité, ce nombre est dû à une liste de 60 noms d’utilisateurs et mots de passe contenue dans le code source Mirai et aux objets connectés dont les ports Telnet sont ouverts.
Popopret et BestBuy ont ajouté une option permettant de mener des attaques brute-forces via SSH ainsi qu’ un support favorisant l’exploitation d’une vulnérabilité Zero-Day (non révélée).
Chose qui vient confirmer l’hypothèse de 2sec4u qui soupçonnait que les nouvelles variantes du malware Mirai utilisent des vulnérabilités Zero-Day.

Popopret a aussi évoqué la possibilité de spoofer les adresses IP des bots. Cette technique permettrait notamment au botnet de passer à travers des systèmes anti-DDoS.

Dans la suite de leur conversation avec BleepingComputer, les hackers Popopret et BestBuy ont affirmé qu’ils ont été en possession du code source Mirai bien avant qu’il soit publié online.
Pour finir, ils ont rejeté toute responsabilité de leur botnet sur les récentes attaques DDoS.

mdestroy

Source: BleepingComputer.com

Leave a Reply

Your email address will not be published. Required fields are marked *