Opération conjointe contre plusieurs botnets
Des autorités des États-Unis, Allemagne et Canada ont démantelé l’infrastructure de Command and Control (C2) utilisée par les botnets Aisuru, KimWolf, JackSkid, et Mossad pour infecter des appareils de l’Internet des Objets (IoT).
Cette action menée par les forces de l’ordre a aussi ciblé des serveurs virtuels, des domaines internet, et d’autres dispositifs utilisés par ces botnets pour mener des centaines de milliers d’attaques par déni de service distribué (DDoS) à l’échelle mondiale. Parmi les cibles, on retrouve des adresses IP appartenant au Department of Defense Information Network (DoDIN).
En décembre dernier, le botnet Aisuru a établi un nouveau record avec une attaque DDoS atteignant 31,4 Tbps, correspondant à 200 millions de requêtes par seconde, dans le cadre d’une campagne visant principalement le secteur des télécommunications.
Aisuru avait précédemment détenu un autre record avec une attaque de 29,7 Tbps. En novembre, une attaque attribuée à ce même botnet, émanant de 500 000 adresses IP, a atteint 15,72 Tbps.
Selon le Department de la Justice des États-Unis, cette opération vise à interrompre les communications associées aux botnets identifiés, afin de prévenir une nouvelle infection des dispositifs victimes et de restreindre la capacité de ces botnets à lancer des attaques futures.
Des documents judiciaires indiquent que le botnet Aisuru a émis plus de 200 000 commandes d’attaques DDoS, KimWolf plus de 25 000, JackSkid plus de 90 000, et Mossad plus de 1 000 commandes.
Ces botnets ont, au total, infecté plus de trois millions d’appareils IoT, parmi lesquels se trouvent des caméras web, des enregistreurs vidéo numériques et des routeurs WiFi, dont une grande partie localisée aux États-Unis.
Les opérateurs de ces botnets ont proposé l’accès à d’autres cybercriminels dans un modèle de cybercriminalité-as-a-service, leur permettant de lancer des attaques DDoS entraînant des pertes financières et des coûts de remédiation se chiffrant en dizaines de milliers de dollars.
Selon Akamai, entreprise spécialisée en cybersécurité et cloud computing impliquée dans cette opération, ces attaques peuvent paralyser des infrastructures internet fondamentales, dégrader significativement les services pour les fournisseurs d’accès, et submerger des services de mitigation basés sur le cloud.
Les cybercriminels ont utilisé ces botnets pour mener des centaines de milliers d’attaques, parfois en exigeant des paiements de rançon de la part des victimes.