Hide’N’Seek : un nouveau botnet qui cible les objets connectés

Un nouveau botnet ciblant les objets connectés a été découvert. Le botnet, dénommé Hide’N’Seek (HNS) utilise des techniques avancées : communication décentralisée entre les victimes à travers un réseau Peer-to-Peer complexe et mise en place d'une protection par signature de l’intégrité du code propagé. Le bot contient des commandes permettant l’exécution de code et l’exportation de données et peut éventuellement interférer avec le bon fonctionnement du système.

Vecteur d’infection et de propagation :

HNS génère de manière aléatoire une liste d’adresses IP. Il initie ensuite une communication avec les adresses qui répondent favorablement à des requêtes SYN sur des ports spécifiques (23, 2323, 80, 8080). Une fois la connexion établie, le bot essaie de se connecter à la bannière « Buildroot login : » en utilisant des identifiants par défaut ou une attaque par dictionnaire. Il utilise ensuite des mécanismes d’exploitation spécifiques au périphérique cible. Ces mécanismes sont définis en mémoire et sont protégés par signature contre toute modification.  

Pour communiquer, le bot utilise un réseau P2P et ouvre un port aléatoire sur le système local de la victime. Il écoute ensuite les connexions sur le port ouvert et n'accepte que des commandes bien spécifiques.

Recommandations :

Pour se protéger face à ce type de botnet, il est conseillé :

  • D’appliquer les mises à jour des produits utilisés une fois publiées ;
  • D’adopter les bons réflexes en termes de gestion des configurations par défaut et des mots de passe par défaut ;
  • De réinitialiser, si nécessaire, les systèmes compromis.