L’activité des robots en ligne reste une préoccupation majeure parmi les professionnels de la sécurité des réseaux. À eux seuls, il est difficile pour les robots individuels d’infliger des dégâts à grande échelle contre une cible donnée. Mais que se passe-t-il lorsque ces robots individuels unissent leurs forces ?
C’est exactement ce qui se passe dans un botnet. Abréviation de « réseau de robots », les botnets sont des ensembles d’appareils connectés à Internet, chacun exécutant un ou plusieurs robots. Leur ampleur permet aux cybercriminels d’exécuter des attaques sophistiquées qui submergent les réseaux ciblés de trafic ou de mener d’autres activités malveillantes.
À mesure que le nombre d’appareils connectés à Internet augmente, les réseaux de zombies se multiplient également. En fait, la prévalence des attaques de robots a presque doublé tout au long de 2023, selon une étude récente. Fin mai, le ministère américain de la Justice annoncé qu’il avait démantelé le botnet « 911 S5 », après environ huit années d’activité couvrant 19 millions d’adresses IP uniques dans 200 pays, ce qui a rapporté une récolte frauduleuse de 5,9 milliards de dollars.
Examinons de plus près les botnets, leur évolution au fil des années, la manière dont les cybercriminels les utilisent aujourd’hui et la manière dont les administrateurs peuvent protéger leurs réseaux contre cette menace croissante.
Le concept de botnets trouve ses racines au début des années 2000, avec l’apparition du « EarthLink Spammer », largement considéré comme le premier botnet. Il était principalement utilisé pour exécuter des campagnes de spam à grande échelle. Depuis, les botnets ont considérablement évolué.
Une étape majeure a été franchie en 2007, lorsque le premier botnet décentralisé est apparu, connu sous le nom de « Storm ». Contrairement à ses homologues précédents qui étaient relativement simples, Storm a exploité la communication peer-to-peer (P2P) pour contrôler son réseau d’appareils infectés plutôt qu’un seul serveur de commande et de contrôle (C2). Cela a rendu les acteurs malveillants beaucoup plus difficiles à suivre, ce qui a considérablement stimulé le marché des botnets du dark web.
Parmi les développements les plus récents dans l’évolution des botnets figure l’émergence de botnets ciblant les appareils IoT. Il s’agit notamment des caméras de sécurité, des téléviseurs intelligents, des imprimantes et des appareils connectés. Les appareils IoT, même les plus modernes, ont souvent une sécurité relativement faible, ce qui facilite leur « recrutement » dans des botnets en coulisses. Lutter contre cette menace constituera un défi majeur pour les fabricants de produits et la communauté de la cybersécurité dans les années à venir.
Les auteurs de menaces ont également commencé à utiliser l’IA et le ML pour optimiser leurs armées de « dispositifs zombies », ce qui améliore considérablement leur efficience et leur efficacité dans la conduite d’attaques.
Les botnets offrent aux cybercriminels un moyen puissant et évolutif de mener des activités malveillantes. Ils peuvent être extrêmement difficile à détecteret de nombreux systèmes ne sont pas équipés pour gérer l’ampleur et la complexité des botnets modernes.
Toutefois, avant de pouvoir causer des dégâts, les attaquants doivent d’abord infecter autant d’appareils que possible. Cela se fait par diverses méthodes, dont la plus populaire est probablement l’ingénierie sociale, qui dans ce cas consiste à inciter les individus à télécharger des logiciels malveillants de type botnet, soit par phishing, soit en les déguisant en liens de téléchargement légitimes. Ce fut le cas du 911 S5 mentionné ci-dessus, que des personnes ont involontairement installé dans le cadre de logiciels VPN apparemment légitimes.
L’autre méthode d’infection courante consiste à utiliser des logiciels obsolètes. Les appareils fonctionnant sur un ancien micrologiciel sont vulnérables aux infections par botnet. Ceci est particulièrement courant avec les appareils IoT dont l’état du micrologiciel est souvent négligé en raison du grand nombre d’entités nécessitant une configuration et une mise à jour.
Une fois que les cybercriminels disposent d’un botnet important, ils peuvent l’utiliser pour exécuter différents types d’attaques. Le vecteur d’incursion le plus largement rencontré à ce stade est le déni de service distribué (DDoS). Dans une attaque DDoSle botnet inonde les serveurs d’une cible avec une quantité de trafic écrasante, provoquant son crash ou ses mauvaises performances. Fin juillet, Microsoft Azure a été frappé par une attaque DDoS qui a entraîné des interruptions de plusieurs heures dans le monde entier.
Mais les botnets peuvent également être utilisés pour des actes criminels plus « directs », y compris des attaques liées aux mots de passe comme le credential stuffing et les attaques par force brute ou même l’exfiltration de données. Ces techniques de botnet sont plus récentes, examinons-les donc un peu plus en détail.
Le credential stuffing alimenté par un botnet utilise l’apprentissage automatique pour analyser les bases de données de mots de passe à grande échelle. Les attaquants peuvent alimenter le botnet avec ces bases de données, facilement accessibles sur le dark web, lui permettant ainsi de passer au crible des centaines de millions, voire des milliards d’entrées.
En utilisant des algorithmes ML, le botnet peut identifier les mots de passe les plus courants et les hiérarchiser lors d’attaques par force brute. Cela minimise le bruit associé aux attaques par force brute et augmente considérablement le taux de réussite.
En matière d’exfiltration de données, les botnets ont également commencé à intégrer des techniques plus avancées qui rendent le vol et l’extraction de données à la fois plus furtifs et plus efficaces. Les botnets modernes peuvent être programmés pour infiltrer les réseaux, localiser des données précieuses et les exfiltrer sans déclencher d’alertes de sécurité.
Grâce à l’intégration de l’apprentissage automatique, les botnets peuvent également être chargés de rechercher automatiquement des types de données spécifiques, tels que des numéros de carte de crédit ou des informations personnelles identifiables (PII). Pour éviter d’être détectés, les botnets divisent souvent les données volées en paquets plus petits et les transmettent lentement au fil du temps ou via des canaux cryptés.
Le succès des attaques par botnet dépend en grande partie de cyber-résilience de la cible. Même si des pirates informatiques très sophistiqués peuvent infiltrer même les systèmes les plus protégés, un cyber-raid a plus de chances de réussir contre des cibles dont les mesures de sécurité sont faibles ou obsolètes.
Cependant, pour atteindre ne serait-ce qu’un niveau élémentaire de résilience face aux botnets actuels, vous devez couvrir certains domaines.
Surveillance du réseau. Les équipes de sécurité réseau n’ont une chance de se rendre compte qu’elles sont attaquées que si elles peuvent détecter les menaces en temps réel. Cela n’est possible qu’avec une surveillance continue du réseau. Les journaux réseau vous donneront des informations détaillées sur toutes les activités du réseau. Idéalement, vous souhaiteriez conserver tous ces journaux dans un emplacement central où l’équipe informatique peut y accéder et les analyser. Pour cela, vous utiliserez un système de gestion des informations et des événements de sécurité (SIEM) pour regrouper et analyser les données de journaux provenant de diverses sources au sein du réseau, notamment les pare-feu, les serveurs et les systèmes de détection et de prévention des intrusions (IDS/IPS).
Capacités de détection automatisées. Étant donné que les botnets peuvent rester cachés pendant des mois, il est également important de disposer d’une certaine forme de capacité de détection automatisée, qui alertera votre service informatique de toute activité réseau inhabituelle ou d’anomalies pouvant indiquer la présence d’un botnet. L’IDS/IPS peut être efficace à cet égard, ainsi que Solutions de détection et de réponse réseau (NDR).
Mises à jour du logiciel. Les botnets se propagent souvent sur des appareils dotés de logiciels obsolètes. Il est donc important de toujours installer les derniers correctifs de sécurité dès qu’ils sont disponibles. Ces correctifs contiennent des correctifs pour les vulnérabilités connues qu’un attaquant peut utiliser pour propager des botnets et d’autres logiciels malveillants sur les points de terminaison de votre réseau.
Formation de sensibilisation. Une attaque de phishing bien orchestrée peut contourner même les systèmes de protection les plus avancés, ce qui souligne la nécessité d’établir un programme de sensibilisation à la cybersécurité. Les employés doivent être conscients des meilleures pratiques de base telles que reconnaître les tentatives de phishing, rester à l’écart des fichiers suspects ou des liens inconnus, utiliser des mots de passe forts et MFA, etc.
Les botnets ont considérablement évolué au fil des années et continueront de le faire en parallèle avec d’autres technologies. Nous constatons déjà les impacts de l’intégration de l’IA et du ML dans les attaques de botnets, les rendant plus efficaces et difficiles à détecter. Pour garder une longueur d’avance sur ce fléau grandissant, les équipes de sécurité des réseaux doivent donner la priorité aux mesures qui contrecarrent de manière proactive les infections et minimisent les délais de réponse en cas de violation.