Notions de base sur les botnets : Se défendre contre les « réseaux de robots »

Les botnets font partie des outils d’attaque les plus puissants du paysage des menaces modernes. Les attaques de 2016 contre Dyn DNS et OVH ont été massives, tant en termes de volume de trafic que d’ampleur des perturbations.   La carte Down Detector ci-dessous illustre les effets généralisés de l’attaque Dyn DNS.

En quoi consistent les botnets ?

Le terme « botnet » est un mot-valise formé à partir des mots « robot » et « réseau », décrivant des réseaux d’ordinateurs et d’autres appareils qui ont été détournés pour être utilisés par des cybercriminels. Le bot, parfois appelé « zombie », suit les ordres d’un « botmaster » ou d’un « bot herder ». Le botmaster, qui peut être un individu ou un groupe organisé, est généralement l’acteur de la menace qui a créé le botnet.

Le détournement d’un appareil est un processus en plusieurs étapes, qui commence par la diffusion d’un malware sur l’Internet ou un autre réseau, comme celui d’une entreprise ou d’une université. Les acteurs de la menace installent le malware botnet en exploitant les vulnérabilités logicielles ou les identifiants compromis. Ce processus est largement automatisé, car c’est avant tout une affaire de quantité. Pour créer un botnet malveillant, il faut activer le plus de bots possible.

Une fois infectés, les bots établissent une communication pour s’identifier et obtenir des instructions. Ce qui se passe ici dépend de l’architecture du botnet. Une architecture centralisée utilise un ou plusieurs serveurs de commande et de contrôle (C&C) pour communiquer avec tous les bots. Dans un botnet centralisé, le nouvel appareil recherche le serveur C&C et se connecte au botnet.

Dans un réseau décentralisé, tous les appareils s’envoient des instructions les uns aux autres. Comme il n’y a pas de serveur C&C, le nouvel appareil essaiera de trouver des pairs botnet pour obtenir des instructions. Dans cette architecture, chaque dispositif peut transmettre et recevoir des instructions. Les botnets décentralisés ont plus de chances de survivre aux spécialistes de la cybersécurité et aux forces de l’ordre, car il n’existe pas de point de défaillance unique dans le réseau. Même si une grande partie du botnet est perturbée, il peut continuer à fonctionner en trouvant des itinéraires alternatifs parmi les pairs restants.

Il existe également des botnets hybrides qui exploitent les deux architectures, comme le botnet GameOver Zeus (GOZ). Celui-ci présentait une structure à trois couches comprenant un serveur de commandes, une couche proxy et un botnet peer-to-peer. Ce botnet, aujourd’hui disparu, était censé être « impossible » à démanteler.

Si les divers routeurs sans fil et caméras en réseau sont les appareils les plus fréquemment compromis, les appareils mobiles sont aussi une cible intéressante pour les botmasters.  La connectivité 5G permet à un botnet sur de petits téléphones de mener des attaques avec la même intensité que de puissants serveurs.

Que peuvent faire les botnets ?

Les botnets peuvent être utilisés dans un large éventail d’attaques visant les particuliers, les entreprises et les infrastructures critiques. Voici quelques-uns des types d’attaques les plus courants :

Déni de service distribué (DDoS) : cette attaque utilise des milliers, voire des millions de dispositifs compromis pour inonder de trafic le site Web ou le serveur cible simultanément. Le trafic dépasse la capacité de la cible et la rend inaccessible aux utilisateurs légitimes. Même les grandes organisations dotées d’une infrastructure robuste peuvent avoir du mal à résister à une attaque d’envergure.

Campagnes de hameçonnage et de spam : les botnets peuvent distribuer des milliards de spams par jour. Ils contiennent des liens ou des pièces jointes frauduleuses conçus pour voler des identifiants, installer des malwares, ou les deux. L’automatisation et l’évolutivité de ces opérations augmentent les chances de succès.

Violations d’informations financières et autres vols de données : cette application des capacités des botnets est particulièrement lucrative. Les botnets diffusent des malwares qui volent les identifiants bancaires, les informations de cartes de crédit et autres données financières ou sensibles. SpyEye en est l’un des premiers exemples :

« … les cybercriminels ont utilisé [SpyEye] à des fins malveillantes : infecter les ordinateurs des victimes et créer des botnets (armées d’ordinateurs piratés) qui ont collecté de grandes quantités d’informations financières et personnelles et les ont renvoyées à des serveurs sous le contrôle des malfaiteurs. Ils ont ensuite pu pirater des comptes bancaires, retirer les fonds volés, créer de fausses cartes de crédit, etc. »

Attaques de piratage de compte (ATO) : les botnets automatisent les attaques par force brute et par bourrage d’identifiants contre une ou plusieurs cibles, permettant des milliers de tentatives de connexion par heure. Un botnet augmente considérablement les chances de réussir à pirater des comptes.

Cryptominage : ces malwares utilisent la puissance de traitement de l’appareil pour miner de la cryptomonnaie. Les acteurs de la menace ciblent généralement les réseaux d’entreprise ou intègrent la fonction de cryptominage à d’autres malwares.

Fraude au clic : les botmasters utilisent leurs réseaux pour tirer frauduleusement des revenus de services publicitaires. Parmi les différents types de fraude au clic, un stratagème classique pour les acteurs de la menace consiste à configurer plusieurs sites frauduleux pour proposer des espaces publicitaires à des réseaux légitimes tels que Google Ads. Lorsque les annonces sont placées, les bots visitent les sites Web et cliquent sur les annonces. Le botmaster reçoit une commission et l’annonceur n’obtient jamais de prospects légitimes. Un rapport publié par Internet Advertising Revenue prévoit que 172 milliards de dollars seront perdus chaque année à cause de la fraude au clic.

Botnet-as-a-Service (BaaS) : comme tout cybercrime en tant que service, le BaaS est un modèle économique dans lequel les botmasters louent l’accès à leur réseau à d’autres acteurs de la menace. D’autres criminels peuvent ainsi utiliser un botnet sans avoir besoin de créer et de gérer leur propre réseau. Le DDoS-as-a-Service est une émanation de ce modèle.

Vos appareils font-ils partie d’un botnet ?

Il existe plusieurs indicateurs clés de l'activité des botnets. Voici les plus visibles pour les utilisateurs finaux :

Performances du système : activité élevée et inexpliquée du processeur ou du ventilateur lorsque l’appareil est inactif. Les ordinateurs peuvent présenter des performances ralenties, des temps d’arrêt longs ou ne pas parvenir à s’éteindre correctement.

Performances du réseau : trafic excessif sur le réseau, transferts de données inexpliqués, connexions Internet lentes ou augmentation soudaine et inexpliquée de l’utilisation des données cellulaires.

Activité inhabituelle du navigateur : modifications inexpliquées des paramètres du navigateur, popups et publicités inattendues.  Impossibilité de mettre à jour les programmes antivirus.

Autres activités du système : comportement inhabituel du système, comme des arrêts inattendus ou des messages d’erreur, impossibilité de mettre à jour le système d’exploitation, entrées suspectes dans les journaux système des périphériques et activité de l’ordinateur ou du réseau à des heures inhabituelles.

Ces activités peuvent indiquer une infection par un malware et un piratage possible de votre appareil.

Protégez votre entreprise

Les pratiques suivantes contribuent à protéger votre entreprise contre les botnets et à améliorer sa cybersécurité :

Sécurité du réseau : déployez des firewalls et des systèmes de détection d’intrusion (IDS) de niveau entreprise, implémentez une architecture Zero Trust pour les accès internes et externes, et appliquez la segmentation du réseau pour limiter les mouvements latéraux au sein de vos systèmes. Les malwares de type botnet tentent en effet de se déplacer latéralement et d’infecter autant d’appareils en réseau que possible. Effectuez régulièrement des tests de vulnérabilité pour identifier les points d’entrée potentiels pour les pirates.

Gestion des correctifs : maintenez tous les logiciels, systèmes d’exploitation et firmwares à jour. Mettez en œuvre une stratégie documentée de gestion des correctifs donnant la priorité aux mises à jour critiques, et supprimez du réseau les applications obsolètes et les appareils en fin de vie.

Authentification et contrôle des accès : appliquez l’authentification multifacteur (MFA) et des mots de passe complexes et uniques pour tous les comptes. Utilisez le principe du moindre privilège pour contrôler l’accès aux appareils et aux autres ressources réseau.  

Trafic réseau : mettez en place des systèmes de surveillance continue pour détecter les anomalies et utilisez des outils d’analyse et de machine learning (ML) pour identifier les schémas suspects. Configurez des alertes pour les activités inhabituelles, telles que les pics de tentatives de connexion infructueuses.

Sécurisation des appareils : installez et gérez des solutions de points de terminaison sur tous les appareils, et isolez les appareils IoT de l’infrastructure réseau critique lorsque c’est possible. Assurez-vous que tous les appareils, y compris les appareils IoT, disposent d’identifiants uniques et de paramètres de sécurité appropriés.

Ces mesures renforceront votre réseau et vous aideront à vous défendre contre les attaques et les infections de botnets.

Vous pouvez compter sur Barracuda

Barracuda Advanced Bot Protection est l’outil de choix pour combattre les bots d’IA générative. En fournissant des mécanismes de défense proactifs, une visibilité accrue et des contrôles personnalisables, il permet aux entreprises de protéger leur contenu, d’optimiser leurs ressources et de conserver leur avantage concurrentiel dans un monde de plus en plus automatisé.