NKAbuse : le nouveau logiciel malveillant qui exploite la technologie de la blockchain NKN pour des attaques DDoS

« Le logiciel malveillant utilise la technologie NKN pour l’échange de données entre pairs, fonctionnant comme un implant puissant et doté de capacités de flooder et de backdoor », a déclaré l’entreprise russe de cybersécurité Kaspersky dans un rapport publié jeudi.

NKN, qui compte plus de 62 000 nœuds, est décrit comme un « réseau logiciel superposé construit au-dessus de l’Internet d’aujourd’hui qui permet aux utilisateurs de partager la bande passante inutilisée et de gagner des récompenses en jetons ». Il intègre une couche de blockchain au-dessus de la pile TCP/IP existante.

Alors que les acteurs de la menace sont connus pour tirer parti des protocoles de communication émergents à des fins de commandement et de contrôle (C2) et pour échapper à la détection, NKAbuse tire parti de la technologie blockchain pour mener des attaques par déni de service distribué (DDoS) et fonctionner comme un implant à l’intérieur des systèmes compromis.

Plus précisément, il utilise le protocole pour communiquer avec le bot maître et recevoir/envoyer des commandes. Le logiciel malveillant est implémenté dans le langage de programmation Go, et les preuves montrent qu’il a été utilisé principalement pour isoler des systèmes Linux, y compris des appareils IoT, en Colombie, au Mexique et au Vietnam.

On ne sait pas encore à quel point les attaques sont répandues, mais un cas identifié par Kaspersky implique l’exploitation d’une faille de sécurité critique vieille de six ans dans Apache Struts (CVE-2017-5638, score CVSS : 10.0) pour pénétrer dans une société financière non nommée. L’exploitation réussie est suivie par la livraison d’un script shell initial qui est responsable du téléchargement de l’implant à partir d’un serveur distant, mais pas avant d’avoir vérifié le système d’exploitation de l’hôte cible. Le serveur hébergeant le logiciel malveillant contient huit versions différentes de NKAbuse pour prendre en charge diverses architectures de CPU : i386, arm64, arm, amd64 ,mips ,mipsel ,mips64 ,et mips64el . Un autre aspect notable est l’absence de mécanisme d’autopropagation, ce qui signifie que le logiciel malveillant doit être transmis à une cible par une autre voie d’accès initiale, par exemple par l’exploitation de failles de sécurité.

« NKAbuse utilise des tâches cron pour survivre aux redémarrages », explique Kaspersky. « Il vérifie l’ID de l’utilisateur actuel 0, analyse la crontab actuelle et s’ajoute à chaque redémarrage. NKAbuse incorpore également de nombreuses fonctionnalités de porte dérobée qui lui permettent d’envoyer périodiquement un message de battement de cœur au bot master, qui contient des informations sur le système, de capturer des captures d’écran, d’effectuer des opérations sur les fichiers et d’exécuter des commandes système. »En outre, son utilisation de la technologie blockchain garantit à la fois la fiabilité et l’anonymat, ce qui indique que ce botnet pourrait se développer régulièrement au fil du temps, apparemment sans contrôleur central identifiable. Nous sommes surpris de voir NKN utilisé de cette manière », a déclaré Zheng Bruce Li, cofondateur de NKN, à The Hacker News. Nous avons construit NKN pour qu’il fournisse une véritable communication européenne sécurisée, privée et décentralisée, massivement évolutive. Nous essayons d’en savoir plus sur le rapport pour voir si, ensemble, nous pouvons rendre Internet sûr et neutre.