Verizon a été confronté à un cas assez particulier récemment. Une université américaine a en effet été attaquée par un botnet formé… de ses propres objets connectés. La remettre sur les rails n’a pas été chose facile.
L’entreprise américaine ne se limite pas à son activité d’opérateur. Elle a en effet lancé en parallèle une division consacrée aux entreprises et aux établissements publics. Cette dernière offre de nombreux services différents et elle compte notamment une division d’experts chargée de lutter contre toutes les menaces en lien avec la cyber-criminalité.
Cette fameuse division publie fréquemment des rapports portant sur les menaces du moment. Le dernier en date contient une étude de cas.
Une université américaine a été attaquée par un botnet particulièrement vicieux
Verizon a en effet été contacté récemment par une université américaine dont le nom n’a pas été dévoilé.
L’établissement a été confronté à une menace assez particulière. Elle a en effet perdu la main sur son propre réseau d’objets connectés. Pire, ce dernier a même fini par se retourner contre elle.
Ce n’est pas une révélation, mais certains objets connectés sont extrêmement vulnérables aux attaques. Dans ce cas précis, un malware a sondé le réseau de l’établissement et il a fini par trouver un appareil vulnérable. Après avoir lancé une simple attaque en brute force, il a ainsi réussi à en prendre le contrôle.
Loin d’en rester là, le programme malveillant en question s’est installé sur l’appareil et il a ensuite utilisé sa puissance de calcul pour attaquer un autre objet vulnérable du réseau, toujours en brute force.
Si vous n’êtes pas familier de la chose, alors il faut rappeler que les attaques en brute force sont les plus simples à mettre en oeuvre. Elles consistent en effet à casser un mot de passe en testant une à une toutes les combinaisons possibles. Ce n’est pas forcément la méthode la plus rapide, mais elle est relativement efficace sur des mots de passe courts.
L’université a fini par se rendre compte du problème, bien sûr. Trop tard, malheureusement. Le programme avait en effet eu le temps d’infecter cinq mille machines différentes et de déployer du même coup un gigantesque botnet à travers l’établissement.
5 000 appareils connectés ont été infectés
Le réseau en question se composait de plusieurs appareils différents. Comme des ampoules connectées ou des distributeurs de soda. L’université avait en effet beaucoup investi sur les équipements connectés afin de faciliter la gestion de son parc.
Comme tout bon malware qui se respecte, le programme utilisé pour mener cette attaque ne s’est pas contenté de se répliquer sur l’ensemble des objets connectés de l’établissement. Il avait aussi modifié le mot de passe utilisé pour les administrer.
Mais il n’en est pas resté là. Le botnet a en effet lancé plusieurs attaques successives contre le réseau informatique de l’entreprise, provoquant du même coup de fortes latences sur l’ensemble des postes connectés. Les étudiants se sont rapidement rendu compte que quelque chose ne collait pas et ils ont donc prévenu l’équipe encadrante.
Faute de solution viable, l’université a donc contacté la division spéciale de Verizon afin de requérir son aide. Elle s’est montrée très réactive et elle a ainsi envoyé plusieurs experts sur place. Après avoir mené une analyse en profondeur sur le pare-feu du réseau, ils ont réalisé que ce botnet envoyait des requêtes DNS à intervalles réguliers. Toutes les 15 minutes, en fait.
Fort heureusement, le programme utilisé avait un défaut : il faisait circuler les nouveaux mots de passe générés en clair, dans des paquets circulant sur le réseau. Les experts de Verizon ont donc pu les intercepter et les utiliser pour récupérer l’accès aux objets connectés du parc.
S’ils n’avaient pas réussi à le faire, alors l’établissement n’aurait eu d’autre choix que de remplacer tous ses appareils connectés.