Reaper : Un nouveau botnet ciblant les équipements IoT

La firme de sécurité Checkpoint a détecté une augmentation du nombre de tentatives d'intrusion sur les objets connectés. Après avoir enquêté sur cette tendance, elle a découvert l’existence d’un nouveau botnet, Reaper, actuellement en cours de développement. Elle a constaté qu’il est principalement composé de caméras IP, de magnétoscopes réseau et d’enregistreurs vidéo numériques.

Checkpoint et l'entreprise chinoise Qihoo 360 netlab, affirment que le botnet utilise le même malware que celui utilisé par Mirai en 2016. Il est néanmoins possible que les dommages potentiels de Reaper soient beaucoup plus importants car plus de deux millions d’appareils sont déjà recensé comme impactés.

La différence entre Mirai et Reaper réside dans le fait que le premier se concentre sur le bruteforce des identifiants de connexion par défaut pour sa phase d'infection, tandis que le deuxième cherche plutôt à infecter des équipements non mis à jour.

En menant ses investigations, Checkpoint a remarqué que les tentatives d’intrusion venait de plusieurs objets et non pas d’une adresse IP externe. L’explication est la suivante : après avoir infecté un objet par le malware, ce même objet cherche à infecter d’autres objets similaires. Cette méthode permet une propagation rapide et étendue.

Les intentions du développeur du botnet ne sont pas encore connues, mais les spéculations tournent autour d’attaques d’amplification DNS ou de DDOS comme ce fut le cas pour le botnet Mirai. Le FBI et l’Europol ont publié des alertes relatives aux risques d’exposition d’objets non mis à jour sur Internet.