Bitcoin : Ce botnet abuse de la blockchain pour rester incognito

Spread the love
  • Yum

Bitcoin : Ce botnet abuse de la blockchain pour rester incognito

Un botnet utilisé pour des activités de minage illicite de cryptomonnaies abuse des transactions en Bitcoin (BTC) pour rester sous le radar. Selon une nouvelle étude publiée par Akamai ce mardi, cette technique est exploitée par les opérateurs d’un réseau qui mène depuis longtemps une campagne de minage de cryptomonnaies, dans laquelle les transactions de la blockchain BTC sont exploitées pour cacher les adresses des serveurs de commande et de contrôle (C2).

Les botnets s’appuient sur ces serveurs C2 pour recevoir les commandes des cyberattaquants. Les forces de l’ordre et les équipes de sécurité sont constamment en train de trouver et de démonter ces serveurs C2 afin de mettre fin aux campagnes, mais si des sauvegardes sont en jeu, le démontage peut être plus difficile. Selon Akamai, les opérateurs de botnet sont capables de cacher les adresses IP C2 de sauvegarde via la blockchain, une technique décrite comme un « moyen simple, mais efficace, de faire échouer les tentatives de démantèlement ».

L’attaque débute par l’exploitation des vulnérabilités de l’exécution de code à distance affectant des logiciels tels que Hadoop Yarn et Elasticsearch, comme le prouvent les failles CVE-2015-1427 et CVE-2019-9082. Dans certaines attaques, plutôt qu’un détournement pur et simple du système, l’exécution de code à distance crée des scanners de serveurs Redis qui trouvent des cibles supplémentaires à des fins de minage de cryptomonnaies.

publicité

Exploiter la blockchain BTC

Un script shell est alors déployé pour exécuter du code à distance sur un système vulnérable et un logiciel malveillant d’extraction de Skidmap est déployé. Le script initial peut également tuer les « mineurs » existants, modifier les clés SSH ou désactiver les fonctions de sécurité. Les planificateurs de tâches basées sur le temps et les rootkits sont utilisés pour maintenir la persistance et distribuer le malware. Cependant, pour maintenir et réintégrer les systèmes cibles, des domaines et des adresses IP statiques sont utilisés, et ces adresses sont finalement identifiées et tuées par les équipes de sécurité.

« Il est prévisible que ces domaines et ces adresses IP soient identifiés, brûlés et/ou saisis », expliquent les chercheurs. « Les opérateurs de cette campagne s’y attendaient et ont inclus une infrastructure de sauvegarde où les infections peuvent basculer et télécharger une infection mise à jour qui, à son tour, met à jour la machine infectée pour utiliser de nouveaux domaines et de nouvelles infrastructures », indiquent-ils également.

En décembre, Akamai a remarqué qu’une adresse de portefeuille de la blockchain BTC était incluse dans de nouvelles variantes du malware de cryptomining. Cette adresse IP était utilisée pour maintenir la persistance des attaques. Les chercheurs affirment qu’en récupérant les adresses via l’API du portefeuille, les opérateurs du malware sont capables de brouiller et de cacher les données de configuration dans la blockchain. « En insérant une petite quantité de BTC dans le portefeuille, ils peuvent récupérer les systèmes infectés qui ont été rendus orphelins », affirme-t-on chez Akamai.

« L’infection utilise l’adresse du portefeuille comme un enregistrement de type DNS, et les valeurs des transactions comme un enregistrement de type A », note Akamai. La société estime qu’à ce jour, plus de 30 000 dollars en Monero (XMR) ont été extraits par les opérateurs. « La technique n’est pas parfaite », précisent cependant les chercheurs d’Akamai. « Des améliorations peuvent être apportées, que nous avons exclues de ce rapport pour éviter de donner des indications et des commentaires aux développeurs du botnet. L’adoption de cette technique pourrait être très problématique, et elle gagnera probablement en popularité dans un avenir proche. »

Source : ZDNet.com

Leave a Reply

%d bloggers like this: