Découverte d’un nouveau botnet, Torii, ciblant l’IoT

L’équipe d’Avast a identifié un botnet IoT intitulé Torii. Ce botnet est basé sur le code de Mirai, un autre botnet dont le code source avait été rendu public en 2016. Bien que de nombreux botnet basés sur Mirai aient vu le jour dans le courant de l’année 2018, celui-ci se distingue par sa relative discrétion, sa persistance et son exploitation des systèmes compromis. 

Torii peut opérer sur un grand nombre d’architectures diverses et a pour objectif d’exfiltrer des données trouvées sur les machines cibles, qu’il communique de manière chiffrée. Le botnet serait en activité depuis au moins décembre 2017 mais n’a été identifié que le 19 septembre 2018.

Ce botnet cible les systèmes sur lesquels le service Telnet est exposé. Torii va ensuite analyser l’architecture du système sur lequel il se trouve et télécharge la charge utile adaptée, puis l’exécute. Cette première charge utile va ensuite en installer une deuxième et s’assurer de sa persistance.

L’objectif de ce botnet n’est pas clairement défini pour le moment, car il ne fait que récupérer les adresses MAC ou des informations systèmes sur ses cibles.

Plus de détails techniques et d'indicateurs de compromission sont disponibles sur l'article publié par Avast.

Pour se protéger contre ce type d’attaques, il est recommandé de désactiver les services défaillants ou non utilisés. Aussi, il est recommandé d’opter pour des alternatives plus sécurisées notamment SSH au lieu de Telnet.