Les botnets ne disparaissent jamais vraiment. Ils trouvent simplement de nouvelles façons de revenir. Un excellent exemple est Mozi, un botnet de l’Internet des Objets (IoT) apparu pour la première fois en 2019 avec des origines présumées liées à la Chine.
On pensait qu’il avait été éradiqué en août 2023 par les forces de l’ordre chinoises, mais des révélations récentes suggèrent le contraire. De nombreux rapports industriels pointent vers une connexion entre le botnet Mozi et une nouvelle variante : Androxgh0st.
Outre sa connexion avec Mozi, CheckPoint a récemment souligné la gravité de cette menace, classant Androxgh0st comme la variante de logiciel malveillant la plus répandue en novembre 2024.
Cela dépasse d’autres familles de logiciels malveillants (ou malware) notoires comme FakeUpdates et AgentTesla et souligne l’urgence de comprendre la nature et l’impact de cette menace.
Techopedia explore les origines d’Androxgh0st, qui est à risque et comment rester en sécurité.
Points Clés
- Le botnet Androxgh0st a évolué à partir du malware Mozi, ciblant l’IoT et les serveurs web
- Il exploite d’anciennes vulnérabilités et identifiants pour infiltrer les réseaux mondiaux
- Les cibles principales incluent les routeurs, les frameworks PHP et les appareils d’entreprise
- Plus de 600 serveurs dans le monde ont été touchés, déclenchant des alarmes mondiales en cybersécurité
- Les experts recommandent plusieurs niveaux de sécurité pour prévenir les menaces de botnet
Qu’est-ce que le Botnet Androxgh0st ?
Androxgh0st est un malware hybride construit sur les vestiges du botnet Mozi. Il vit des capacités de son prédécesseur tout en introduisant des fonctionnalités avancées pour exploiter les vulnérabilités des appareils IoT, des serveurs web et des systèmes d’infrastructure critique.
Selon Broadcom, le botnet est écrit en Python et cible les fichiers .ENV exposés qui contiennent des identifiants sensibles pour des applications comme AWS, Microsoft Office 365 et Twilio.
Le FBI et la CISA ont porté le botnet à l’attention du public en janvier 2024 avec un avis de cybersécurité. L’avis a révélé que le botnet, concentré sur le vol d’identifiants cloud, s’appuyait principalement sur l’exploitation de trois vulnérabilités anciennes, déjà corrigées, pour obtenir un point d’ancrage initial sur les systèmes ciblés.
Comment fonctionne Androxgh0st ?
Le botnet Androxgh0st est actif depuis janvier 2024 et a exploité plus de 20 vulnérabilités dans les serveurs web et les appareils IoT, selon un rapport de l’équipe de recherche CloudSEK.
CloudSEK explique en outre que le botnet cible souvent des systèmes non corrigés et utilise des failles dans les frameworks PHP, les clés d’application de Laravel et Apache pour obtenir un accès non autorisé. Une fois à l’intérieur, les attaquants déploient des charges utiles de botnet similaires à Mozi pour étendre leur portée en utilisant une infrastructure partagée.
Leur cible principale est les appareils IoT comme les routeurs TP-Link et Netgear, qui manquent souvent de configurations de sécurité de qualité.
Oren Koren, Co-fondateur et CPO de Veriti, une plateforme d’évaluation et de remédiation des expositions, a déclaré à Techopedia qu’il n’est pas surpris que les appareils IoT soient une cible clé pour les botnets comme Androxgh0st.
« Les appareils IoT sont des cibles de choix pour les botnets comme Androxgh0st car ils ont souvent des capacités de sécurité limitées, sont rarement corrigés et fonctionnent fréquemment avec des interfaces exposées. »
Le botnet, selon les chercheurs de CloudSEK, exploite également des vulnérabilités de niveau entreprise, comme celles dans Atlassian JIRA, le pare-feu Sophos version v18.5 MR3, et les anciens appareils Cisco ASA, lui permettant de compromettre des réseaux plus importants.
Les chercheurs ont cité une vulnérabilité dans Cisco ASA qui permettait aux attaquants de détourner des sessions administratives et d’exécuter des commandes donnant un accès plus profond aux données d’entreprise sensibles.
En plus de ces techniques, les découvertes de CloudSEK révèlent que les opérateurs d’Androxgh0st emploient également des techniques de phishing et des attaques par force brute, particulièrement contre les panneaux d’administration WordPress, pour élargir leur portée. Cela fait des petites entreprises, des grandes entreprises et même des utilisateurs individuels des cibles potentielles.
Les chercheurs avertissent que les opérateurs d’Androxgh0st ont été observés en train de vendre l’accès aux systèmes compromis sur des forums du dark web.
Nombre d’organisations attaquées
Bien qu’aucun incident cyber spécifique n’ait été attribué à Androxgh0st, une recherche récente de Veriti a trouvé plus de 600 serveurs touchés mondialement, avec des serveurs aux États-Unis, en Inde et à Taiwan principalement affectés.
Les chercheurs ont également averti que le groupe avait une large portée sur diverses vulnérabilités à travers de nombreuses organisations, bien qu’aucune organisation n’ait été mentionnée.
En décomposant les vulnérabilités exploitées par nombre d’organisations touchées, les chercheurs de Veriti ont révélé que la vulnérabilité d’exécution de code à distance Craft CMS (CVE-2023-41892) a à elle seule impacté 620 organisations.
De même, les vulnérabilités d’injection de commande PHP et de contournement d’authentification d’Ivanti Endpoint Manager Mobile ont affecté respectivement 69 et 60 organisations.
Ce modèle reflète d’autres activités récentes de botnet. En septembre 2024, le Botnet Gorilla a émis plus de 300 000 commandes d’attaque par déni de service distribué (DDoS), paralysant des infrastructures critiques dans 113 pays et affectant plus de 40 organisations.
Le botnet a exploité une large gamme d’appareils compromis, notamment des routeurs et des gadgets IoT, pour amplifier ses attaques, causant des perturbations aux systèmes gouvernementaux, aux services de santé et aux institutions financières.
- La Chine a été la plus touchée avec 20 % de l’impact total,
- suivie des États-Unis à 19 %,
- du Canada à 16 %
- et de l’Allemagne à 6 %.
Par ailleurs, une opération menée par les États-Unis en juin 2024 a perturbé un botnet qui avait infecté plus de 19 millions d’adresses IP pour déplacer des milliards de dollars de fraude liée à la pandémie et au chômage. Un ressortissant chinois de 35 ans, YunHe Wang, a été arrêté le 24 mai par le FBI pour des accusations criminelles liées au déploiement de logiciels malveillants.
Comment rester en sécurité ? Suggestions d’experts
Le botnet Androxgh0st met en évidence la menace évolutive des attaques de logiciels malveillants et les vulnérabilités des systèmes d’infrastructure critique, des appareils IoT et des serveurs web.
Rester en sécurité face à ce type de cybermenace peut être réalisé grâce à une cyber-hygiène de base, a partagé Alex Lanstein, CTO et responsable du renseignement sur les menaces chez StrikeReady, avec Techopedia.
Il a conseillé :
« Évitez d’exposer votre interface de gestion à Internet, activez les correctifs automatiques et assurez-vous que les mots de passe par défaut sont désactivés. »
Lanstein a également souligné que la deuxième composante d’Androxgh0st, qui consiste à utiliser des appareils compromis pour attaquer d’autres services, est principalement un problème d’entreprise. Sur ce point, il a appelé les entreprises à « utiliser les meilleures pratiques pour restreindre l’accès aux actifs exposés au public, comme avec un WAF ou une passerelle API. »
En plus de cela, Koren de Veriti avertit que ce n’est que par une approche de sécurité multicouche que des botnets comme Androxgh0st peuvent être maîtrisés. Les étapes clés comprennent la découverte et la gestion approfondies des actifs pour identifier les appareils IoT et les serveurs web exposés.
« Les organisations doivent prioriser l’identification des actifs exposés et les gérer de manière proactive pour réduire leur surface d’attaque », a conseillé Koren.
Les correctifs et mises à jour réguliers sont cruciaux, mais lorsque l’application de correctifs n’est pas possible, l’application de contrôles compensatoires comme la segmentation réseau peut aider.
Les systèmes de prévention d’intrusion (IPS) sont également efficaces, car ils peuvent détecter l’activité d’Androxgh0st en identifiant sa signature d’attaque unique, bien que les mauvaises configurations entravent souvent leur efficacité.
Koren recommande également la surveillance du trafic pour repérer les modèles inhabituels, la segmentation réseau pour limiter les dommages et des contrôles d’accès forts comme l’authentification multifacteur pour sécuriser les appareils exposés à Internet. Pour une action immédiate, il suggère d’examiner les journaux IPS pour les indicateurs d’Androxgh0st et d’activer les protections.
En Conclusion
Faire face aux botnets est généralement difficile en raison de la large distribution des appareils affectés.
Comme on l’a vu dans d’autres attaques récentes de botnet rapportées précédemment, les attaques de botnet démontrent des tactiques de plus en plus sophistiquées, les acteurs de la menace ciblant spécifiquement les appareils IoT, l’infrastructure cloud et les systèmes exposés à Internet avec des vulnérabilités connues.
Bien que les botnets comme Androxgh0st continuent d’exploiter les vulnérabilités des appareils IoT et des serveurs web, ils nous rappellent également de ne pas négliger les bonnes pratiques de cybersécurité.