Le botnet Masjesu menace les appareils IoT avec des attaques DDoS redoutables
Les experts en cybersécurité ont identifié un botnet Masjesu persistant ciblant le matériel IoT. Il exploite les vulnérabilités des routeurs et des caméras pour organiser des attaques DDoS personnalisées, se propageant principalement via Telegram.
Tactiques de distribution et objectifs
Masjesu se concentre sur la capture furtive des appareils Internet des Objets, évitant les campagnes massives. Le botnet scanne des ports spécifiques, tels que le 52869, associés aux composants Realtek, pour trouver des cibles vulnérables. Une fois à l'intérieur, le malware ouvre le port 55988 pour la commande et le contrôle, assurant sa présence dans le système tout en bloquant les processus concurrents.
Les infections couvrent l'équipement de fabricants comme D-Link, Huawei, TP-Link, NETGEAR et autres. Au cours de la dernière année, l'arsenal s'est étendu à 12 méthodes d'exploitation, y compris l'exécution de code à distance. Les principales sources de trafic incluent le Vietnam, l'Ukraine, l'Iran, le Brésil, le Kenya et l'Inde, représentant jusqu'à 50 % de l'activité.
Appareils vulnérables et méthodes d'attaque
Le botnet cible les routeurs, caméras IP, DVR et NVR de diverses marques. Il contourne les plages d'IP bloquées, y compris celles liées aux structures de défense américaines, minimisant ainsi les risques de détection.
- Architectures prises en charge : Plusieurs plateformes, dont Realtek.
- Méthodes d'infection : Exploitations pour RCE et injection de commandes.
- Cibles d'attaque : CDN, serveurs de jeux, réseaux d'entreprise.
- Propagation : Scan autonome d'IP et de ports, canaux Telegram.
Cette stratégie garantit une résilience à long terme de l'infrastructure.
Contexte de l'évolution de la menace
La prolifération des appareils IoT amplifie les risques : les experts estiment leur nombre dépassera 30 milliards d'ici 2025. Des botnets comme Masjesu (anciennement connu sous le nom de XorBot) évoluent, offrant des services DDoS selon un modèle SaaS. Les facteurs de succès incluent une sécurité faible des appareils : logiciels obsolètes, ports ouverts et manque de mises à jour.
Les conséquences pour l'industrie sont graves. Les attaques paralysent les services, causant des pertes de plusieurs millions de dollars. Durant 2023–2024, des botnets similaires ont mené des milliers d'incidents, soulignant la nécessité de segmentation réseau et de surveillance du trafic.
Points clés à retenir
- Masjesu grandit par furtivité, évitant les cibles sensibles pour prolonger la durée de vie du botnet.
- Impacts plus de 10 marques IoT, se concentrant sur les routeurs et systèmes vidéo.
- Le trafic principal provient d'Asie et d'Afrique, avec des services livrés via Telegram.
- Menace pour les services mondiaux : du jeu aux opérations commerciales.
- Recommandations : Mettre à jour le firmware, fermer les ports 52869 et 55988.
Conséquences et mesures de protection
L'impact sur l'industrie se manifeste par une augmentation de 40 % des attaques personnalisées au cours de l'année. Les entreprises font face à des temps d'arrêt, tandis que les fournisseurs de CDN dépensent des ressources pour l'atténuation. Les réponses gouvernementales s'intensifient : blocage d'IP et coopération internationale.
Pour les utilisateurs IoT :
- Mettez régulièrement à jour les logiciels.
- Utilisez des pare-feux pour les ports.
- Surveillez le trafic à la recherche d'anomalies.
- Évitez les appareils sans support de mise à jour.
Les experts prévoient une évolution supplémentaire, avec une intégration de l'IA pour optimiser les attaques.
— Editorial Team
Aucun commentaire pour le moment.