Rejoignez-Nous sur

Appareils basés sur Android attaqués par le botnet de crypto-mines – BeInCrypto

bic botnet.jpg.optimal

News

Appareils basés sur Android attaqués par le botnet de crypto-mines – BeInCrypto

Botnets, également appelé «réseau de robots». Les scripts de code malveillant puissants et omniprésents conçus par des assistants de code et utilisés par des acteurs de menace capables. Au sens conventionnel, un botnet est une sorte de porte dérobée malveillante qui a été installée sur un grand nombre d'appareils connectés à Internet infectés.

Cela peut permettre à l'attaquant de lancer des attaques par déni de service distribué (DDoS), d'enregistrer au clavier les sessions actives d'un utilisateur et de voler des données personnelles sur l'appareil infecté, de distribuer du spam et d'accéder à d'autres systèmes sur le réseau de la cible, afin qu'il puisse se propager davantage. , en ajoutant plus de machines au réseau de robots que l'acteur menaçant peut contrôler à partir d'un serveur de commande et de contrôle. Pour cette raison, un botnet est également appelé «armée de zombies».

Jindrich Karasek, chercheur sur les cybermenaces au sein de la société de cybersécurité Trend Micro, avait surveillé une activité de malware axée sur l'extraction de crypto-monnaie tout au long du mois d'août, après quoi il a partagé ses découvertes avec BeInCrypto.

Après avoir configuré un environnement Honeypot, qui a permis à Karasek de simuler des appareils connectés Android, plusieurs tentatives ont été faites par un acteur inconnu pour s'introduire par effraction pour vraisemblablement installer un botnet de crypto-minage illicite.

Selon le chercheur, certains cybercriminels semblent avoir déplacé leur objectif de s'introduire dans les systèmes informatiques pour accéder à des appareils Android tels que les téléphones, les kiosques, les tablettes et les téléviseurs intelligents. Ce n’est pas une surprise, car toute la vie personnelle des gens se limite à leurs appareils intelligents.

La raison derrière cette décision pourrait être que les appareils sont en grande partie laissés sans protection car les protections antivirus restent souvent absentes, ce qui les rend vulnérables.

Pour cette raison, le logiciel malveillant peut attaquer les appareils en recherchant des ports ADB (Android Debug Bridge) ouverts et a des capacités de propagation en tirant parti de Secure Socket Shell (SSH), qui est un protocole de réseau cryptographique pour fournir une connexion à distance sécurisée, même sur non sécurisé réseaux.

Cela est rendu possible car les ports ADB ouverts ne nécessitent pas de clés d'authentification par défaut, ce qui est similaire aux capacités de diffusion du botnet Satori – également connu sous le nom de «Masuta», une variante du botnet Mirai – qui fabriqué manchettes l'année dernière et dans juin de cette année, lorsque plusieurs opérateurs de botnet ont été arrêtés pour avoir infecté des centaines de milliers de routeurs sans fil vulnérables et d'autres appareils connectés à l'Internet des objets (IoT).

Un malware de cryptojacking polyvalent en déplacement

Les logiciels malveillants de cryptojacking sont sur la scène depuis des années. Il trouve un moyen de pénétrer dans les périphériques réseau des gens, s’enfouit dans le système, puis commence à voler des ressources et, bien sûr, collecte la cryptographie par des moyens illicites. Au cours des six premiers mois de 2019, les cybercriminels auraient exécuté 52,7 millions d'attaques de cryptojacking.

Karasek a expliqué en particulier un botnet de crypto-minage, expliquant qu'il tente de pénétrer diverses architectures de puces IoT et mobiles telles que les architectures ARM, x86, m68k, mips, msp, ppc et sh4.

Selon le chercheur l’adresse IP de l’acteur menaçant recherchait sur Internet des ports ADB ouverts sur des appareils Android faisant face à Internet.

Comme pour tous les mineurs, il utilise une technique d'évasion qui diminue la puissance de calcul de l'appareil Android, reconfigurant les ressources du système afin de fonctionner plus efficacement et de contribuer à assurer sa propre existence en restant aussi discret que possible.

Il a expliqué la manière dont le bot serait capable d'infecter efficacement les utilisateurs d'Android, précisant que le Sécurité des appareils Android n'est généralement pas configuré de manière à permettre à un acteur menaçant de passer d'un appareil à l'autre via le réseau. Cependant, la méthode de diffusion idéale serait un point d'accès sans fil public. Karasek a poursuivi:

«Imaginez un aéroport, une immense salle de conférence ou un centre commercial. Ils peuvent avoir de nombreux écrans, téléviseurs (et autres appareils) basés sur Android connectés sur le réseau pour une meilleure administration. Ou des appareils Android plus anciens, connectés imprudemment au réseau sans aucune protection. C’est le cas. »

Au fur et à mesure que le récit approfondit, Karasek a noté que le code source du botnet était écrit très simple et même de manière générique, ce qui signifie qu'il ne présente pas de caractéristiques uniques qui apparaissent souvent par les écrivains de code qui développent leur propre style unique, à peu près de la même manière. que la littérature écrite par des auteurs célèbres résonne avec une certaine personnalité propre à leur style d'écriture individuel. Karasek a déclaré:

«Une partie de sa logique a été vue avec le groupe Outlaw, mais en fait, ils pourraient tout aussi bien partager le code à l'usage des script kiddies. Des attaques comme celle-ci impliquent des niveaux élevés de confiance dans l'activité cybercriminelle, plutôt que dans l'activité liée à l'APT. Ils recherchaient principalement Monero, Litecoin et Bitcoin. »

L'activité du botnet n'est pas spécifique au pays, selon Karasek. «Mon estimation fondée sur l'expérience est que le gain ne dépasse pas des milliers de dollars. L'exploitation minière comme celle-ci n'est plus très efficace. Pourtant assez pour soutenir un petit groupe d'opérateurs, mais pas assez pour générer des bénéfices pour une grande organisation », a-t-il conclu.

Monero (XMR) fait son chemin fait la une des journaux plus tôt cette année, en partie grâce à l'apparition d'un nouveau botnet de cryptojacking surnommé «Prometei» par des chercheurs travaillant au Cisco Talos.

En 2018, un botnet crypto mineur connu sous le nom de Smoninru est entré par effraction un demi-million d'appareils informatiques, qui ont pris le contrôle des appareils et les ont forcés à extraire près de 9 000 pièces Monero. Les propriétaires des appareils ne savaient pas que leurs appareils avaient été compromis.

À partir de 2019, Monero était la crypto-monnaie préférée des cybercriminels dans les économies souterraines, selon une étude publiée par des chercheurs universitaires en Espagne et au Royaume-Uni. À l'époque, plus de 4% de tous les XMR en circulation étaient minés par des botnets et des opérations cybercriminelles, avec 57 millions de dollars de XMR encaissés par des criminels.

Les supercalculateurs sont également une cible attractive

Les téléphones intelligents, les tablettes, les téléviseurs intelligents et les ordinateurs personnels ne sont pas les seuls appareils que les auteurs de menaces recherchent pour diffuser leurs programmes de cryptojacking. Après tout, si la vitesse est essentielle dans le crypto mining, les ordinateurs les plus puissants sont une cible de choix évidente.

De nos jours, il n'est pas surprenant que les acteurs de la menace ciblent les supercalculateurs, qui fournissent le le plus rapide calculs sur terre. Au sens conventionnel, les supercalculateurs sont normalement utilisés pour effectuer des calculs scientifiques des milliers de fois plus rapidement que les PC traditionnels.

Ainsi, les supercalculateurs sont bien évidemment une cible idéale dans l'esprit d'un crypto mineur illicite, qui cherche à bénéficier de leur puissance de calcul extrême.

Par exemple, la vitesse de performance d'un supercalculateur est généralement mesurée en opérations en virgule flottante par seconde, appelées «FLOPS», par opposition à un million d'instructions par seconde.

Pour mettre cela en perspective, prenons par exemple le supercalculateur le plus rapide dans le monde, connu sous le nom de The Titan, le supercalculateur Cray Titan du laboratoire national d'Oak Ridge, basé au Tennessee, capable d'effectuer 27 000 milliards de calculs par seconde, soit une vitesse maximale théorique de 27 pétaflops.

Comme indiqué, les victimes aux États-Unis, au Canada, en Chine, dans certaines parties de l'Europe, au Royaume-Uni, en Allemagne et en Espagne semblent ont été les cibles dans une récente série d'attaques de botnet de crypto-minage contre des laboratoires de calcul haute performance.

Les experts en sécurité qui examinent les intrusions ont déclaré que tous ces incidents semblent avoir impliqué les acteurs de la menace utilisant des informations d'identification SSH volées provenant d'utilisateurs autorisés, qui peuvent inclure des chercheurs d'universités et leurs collègues.

Les chercheurs ont effectué des tests sur leurs systèmes pour déterminer s'ils pouvaient détecter le malware en comparant un code connu et bénin à un script de minage Bitcoin malveillant. À leur tour, ils ont pu déterminer que leurs systèmes pouvaient identifier le code malveillant sans délai, ce qui s'est avéré plus fiable que l'utilisation de tests conventionnels.

Les intrusions dans les supercalculateurs ont obligé à les arrêter pour que les attaques puissent faire l'objet d'une enquête. La mise hors ligne des supercalculateurs permet aux enquêteurs légistes d'isoler le code malveillant, empêchant ainsi l'acteur de la menace d'envoyer des commandes aux ordinateurs infectés ou d'effacer les preuves de l'intrusion.

Lorsque les faits sont révélés, il est compréhensible de supposer que les utilisateurs et les intervenants en cas d'incident perdent le combat contre ces mauvais acteurs. Cependant, rien ne pourrait être plus éloigné de la vérité.

Les cyber-intervenants ripostent avec leurs propres contre-armes. Par exemple, le mois dernier, des informaticiens du laboratoire national de Los Alamos ont pu conception un nouveau système d'intelligence artificielle (IA) de pointe qui a la capacité d'identifier éventuellement des logiciels malveillants visant à pénétrer les supercalculateurs pour exploiter la crypto-monnaie.

Gopinath Chennupati, chercheur au laboratoire national de Los Alamos, a déclaré:

«Sur la base des récentes cambriolages informatiques en Europe et ailleurs, ce type de chien de garde sera bientôt crucial pour empêcher les mineurs de crypto-monnaie de pirater des installations informatiques hautes performances et de voler de précieuses ressources informatiques. Notre modèle d'intelligence artificielle d'apprentissage en profondeur est conçu pour détecter l'utilisation abusive des supercalculateurs spécifiquement dans le but de extraction de crypto-monnaie. »

Trouver de nouvelles façons d'attaquer et de protéger

Les opinions sont divisé quant à la sécurité des appareils basés sur Android. Des milliards de personnes utilisent des smartphones ou des tablettes Android, avec de nombreux modèles de téléphones plus anciens qui ne peuvent pas être mis à niveau avec le dernier micrologiciel ou avec les derniers correctifs et mises à jour de sécurité, et cela ne tient pas compte du volume d'utilisateurs d'Android qui, de préférence, retardent les mises à jour obligatoires. , qui expose leurs appareils à d'éventuelles attaques.

Entre photos personnelles, messages, mots de passe enregistrés et portefeuilles électroniques – devenus des éléments incontournables permettant aux utilisateurs d'interagir socialement et économiquement – lorsqu'un acteur inconnu fait irruption et accède à ce type de «plan numérique», qui définit notre espace personnel, il est ressenti comme la violation ultime. Ajoutez le vol du salaire durement gagné d'un individu à l'ensemble, et les effets sont catastrophiques sur le plan personnel.

D'un autre côté, même si les mauvais acteurs prolifèrent et découvrent de nouvelles façons de tirer parti des utilisateurs et de leurs appareils intelligents ou des supercalculateurs universitaires d'ailleurs, les chercheurs en sécurité sont là, développant et mettant en œuvre de nouvelles innovations destinées à aider les utilisateurs et l'industrie à gagner la haute main dans cette bataille serrée entre les cybercriminels et le monde interconnecté dans lequel nous vivons.



Traduction de l’article de Jesse McGraw : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top