Un vaste réseau de cybercriminalité basé sur des appareils IoT piratés et des routeurs obsolètes a été démantelé grâce à une opération conjointe entre les autorités néerlandaises et américaines. Plus de 7 000 appareils étaient infectés et intégrés à un botnet proxy illégal utilisé pour masquer l’identité des cybercriminels. Ce réseau, actif depuis près de 20 ans, permettait à ses utilisateurs de mener diverses activités illégales en toute discrétion, notamment des attaques DDoS, de la fraude publicitaire et du piratage informatique. Une véritable alerte pour tous ceux qui souhaitent renforcer la sécurité de leurs objets connectés.
Démantèlement d’un réseau cybercriminel exploitant l’IoT
Une infrastructure de plus de 7 000 proxys
Les services anyproxy.net et 5socks.net, utilisés pour vendre l’accès à ces appareils infectés, ont été fermés dans le cadre de l’opération baptisée Moonlander. Ces plateformes proposaient quotidiennement plusieurs milliers de proxys répartis dans différents pays, notamment aux États-Unis, au Canada et en Équateur. Les clients rémunéraient les exploitants via des abonnements mensuels allant de 9,95 $ à 110 $. En tout, les bénéfices engrangés dépassent les 46 millions de dollars.
Des acteurs russes et kazakh impliqués
Le Département américain de la Justice a inculpé quatre individus, dont trois citoyens russes et un ressortissant kazakh, pour leur implication dans cette infrastructure. Ils sont accusés d’avoir déployé et maintenu le botnet, et d’avoir tiré profit de la location d’adresses IP résidentielles compromises, rendant la traçabilité des activités malveillantes extrêmement difficile.
Une menace persistante venue des routeurs EoL
Des vulnérabilités exploitées avec précision
Le botnet utilisait un malware connu sous le nom de TheMoon, découvert en 2014, qui exploite les failles de sécurité des routeurs en fin de vie (EoL) exposés sur Internet. Il ne nécessite aucun mot de passe pour infecter un appareil : il repère des scripts vulnérables via des ports ouverts, puis communique avec une infrastructure de commande basée en Turquie pour recevoir des instructions, incluant l’autopropagation du logiciel malveillant.
Des attaques anonymisées et variées
Des milliers de bots étaient connectés chaque semaine aux serveurs de commande. La plateforme 5socks.net permettait aux utilisateurs d’acheter un couple IP/port pour accéder à ces appareils sans aucune authentification supplémentaire. Les usages constatés vont de simples proxys pour cacher une identité numérique à des activités illicites telles que les attaques par force brute, le vol d’informations ou encore la fraude publicitaire.
Bonnes pratiques de sécurité pour éviter les compromissions
Réduire les risques liés aux objets connectés
Le FBI et les experts en cybersécurité recommandent de redémarrer régulièrement les routeurs, d’installer les mises à jour de sécurité, de modifier les mots de passe par défaut et de remplacer les appareils arrivés en fin de vie pour empêcher leur compromission. La montée en puissance de l’Internet des objets alimente un réservoir gigantesque de cibles potentielles pour les cybercriminels.
Former et s’équiper pour progresser en cybersécurité
Face à ces menaces complexes, il est primordial de mieux comprendre les techniques de piratage utilisées. Pour aller plus loin et acquérir les bases du hacking éthique, découvrez notre livre pour apprendre à hacker. Cet ouvrage vous permettra d’explorer les principaux vecteurs d’infiltration de botnets, et de mieux anticiper ces attaques.
Chez CyberCare, nous aidons nos clients à sécuriser leurs infrastructures réseau et objets connectés grâce à des solutions de cybersécurité sur mesure.
