Un groupe de piratage inconnu exploite un malware jusqu'alors inconnu appelé Ttint, qui est classé comme un cheval de Troie spécifique à l'IoT. Ce que nous savons, c'est que les développeurs de hackers utilisent deux vulnérabilités zero-day pour s'introduire sur les appareils cibles. L'analyse de sécurité a conduit à une enquête, révélant ainsi les faiblesses de deux avis publiés: CVE-2018-14558 et CVE-2020-10987. À partir des échantillons capturés, il semble que le malware soit basé sur du code Mirai.
CVE-2018-14558 & CVE-2020-10987 utilisé comme mécanisme pour fournir un cheval de Troie IoT Ttint
Un nouveau et dangereux cheval de Troie IoT attaque les appareils dans le monde entier. Selon l'analyse de code publiée, il est basé sur le code Mirai et développé par un groupe de piratage inconnu. Comme d'autres virus de cette catégorie, lorsqu'une seule infection s'est produite, il tentera automatiquement de s'introduire sur d'autres hôtes similaires, créant ainsi un grand réseau de botnet dans le processus. Pour cette raison, de telles campagnes d'attaque sont considérées comme très efficaces si une configuration et des cibles appropriées sont définies.
Les infiltrations avec ce malware particulier sont effectuées en utilisant l'approche typique de les attaques réseau directs — les pirates utiliseront des frameworks automatisés chargés des vulnérabilités nécessaires. Si les réseaux cibles ne sont pas corrigés, les infections se produiront automatiquement. L'une des raisons pour lesquelles ces intrusions ont été considérées comme critiques dans leur potentiel de dommages est que les faiblesses ont été étiquetées comme “zero-day”, ils étaient inconnus avant les infections.
Les premières attaques ont été détectés en novembre 2019, lorsque le cheval de Troie Ttint IoT a été lancé contre les propriétaires de routeurs Tenda. Cette première instance a utilisé les deux vulnérabilités et la divulgation publique a été faite en juillet 2020. La deuxième vague d'attaque a eu lieu en août 2020, à nouveau contre les appareils Tenda. Le cheval de Troie Ttint se concentre sur l'utilisation de ces deux avertissements:
- CVE-2018-14558 — Un problème a été découvert sur les appareils Tenda AC7 avec un micrologiciel via V15.03.06.44_CN(AC7), Appareils AC9 avec firmware via V15.03.05.19(6318)_CN(AC9), et appareils AC10 avec firmware via V15.03.06.23_CN(AC10). Une vulnérabilité d'injection de commande permet aux attaquants d'exécuter des commandes de système d'exploitation arbitraires via une requête goform / setUsbUnload spécialement conçue. Cela se produit parce que le “formsetUsbUnload” la fonction exécute une fonction dosystemCmd avec une entrée non approuvée.
- CVE-2020-10987 — Le point de terminaison goform / setUsbUnload de la version Tenda AC15 AC1900 15.03.05.19 permet aux attaquants distants d'exécuter des commandes système arbitraires via le paramètre POST de deviceName.
Selon les informations disponibles, la plupart des attaques sont contre des victimes en Amérique du Sud.
Capacités du cheval de Troie Ttint IoT
Le cheval de Troie Tting Iot est basé sur Mirai et comprend donc une séquence d'infection similaire. Bien qu'il intègre la même approche de déni de service distribué, les hackers ont également mis en place un 12 instructions de contrôle.
Lorsque l'infection est exécutée sur les ordinateurs affectés, l'une des premières actions consiste à cacher les traces de virus d'être détecté. Cela se fait en surveillant le système d'exploitation dans le but de rechercher tous les systèmes de sécurité installés. S'il en trouve, le cheval de Troie tentera de les désactiver, cela fonctionne pour les programmes et services tels que les programmes antivirus, pare-feu, des hôtes de machines virtuelles et etc. Ce moteur malveillant peut se supprimer s'il ne parvient pas à contourner ces programmes.
Lorsque le cheval de Troie est détecté sur un système donné, il empêchera le système de redémarrer, ceci est un exemple de l'installation persistante. Ceci est intentionnel et diffère des autres menaces similaires qui déclenchent simplement le virus lorsque l'appareil est allumé.
Les noms réels sous lesquels les processus associés au malware fonctionnent seront renommés, c'est une tentative de cacher leur présence. Tous les fichiers de configuration et les données associés à son fonctionnement sont cryptés, les rendant accessibles uniquement aux pirates. Certaines des caractéristiques distinctes du cheval de Troie Ttint IoT sont les suivantes:
- Fonctionnement avancé du cheval de Troie - Le programme d'agent installé localement se connectera à un serveur contrôlé par un pirate informatique et permettra aux attaquants distants de prendre entièrement le contrôle des appareils. Cependant, au lieu d'utiliser une connexion standard, ce virus particulier utilisera un protocole websocket qui rend très difficile la trace des paquets.
- Utilisation du serveur proxy - La communication entre l'ordinateur local et le serveur distant contrôlé par le pirate sera relayée via un serveur proxy exploité par les criminels.
- Piratage d'accès au réseau - Le malware reconfigurera les fichiers de configuration importants des appareils cibles. Comme ils sont principalement des routeurs, les criminels auront un accès complet à l'accès réseau des utilisateurs..
- Exposition au réseau - En réécrivant les règles de pare-feu, la menace sera en mesure d'exposer les services autrement privés qui sont déployés sur les machines derrière le réseau interne.
- Amélioration - À des intervalles donnés, le logiciel malveillant principal vérifiera s'il existe une nouvelle version de celui-ci.. Il peut automatiquement se mettre à jour vers toutes les nouvelles itérations.
Comme d'autres virus de cette catégorie, il est capable de détourner des informations sensibles depuis le périphérique hôte, y compris les composants matériels disponibles. Les données collectées seront signalées aux criminels lors de la transmission sur le réseau.
Une liste complète des commandes intégrées implémentées est la suivante:
attack_udp_generic, attack_udp_vse, attack_udp_dns, attack_udp_plain, atack_tcp_flag, attaque_tcp_pack, attack_tcp_xmas, attaque_grep_ip, attack_grep_eth, attack_app_http, exécuter la commande «nc», exécuter la commande «ls», exécuter des commandes système, altération du DNS du routeur, Signaler des informations sur l'appareil, Configurer les iptables, exécuter la commande «ifconfig», sortie automatique, Ouvrez le proxy Socks5, Proxy Clos Socks5, Mise à niveau automatique, coque inversée
En ce moment, la meilleure solution consiste à mise à niveau vers le dernier firmware disponible du fabricant de l'appareil. En ce moment tente est le seul fabricant connu d'appareils ciblés. Compte tenu de l'ampleur des attaques et de la liste complète des fonctionnalités, nous prévoyons que les futures attaques cibleront un plus large éventail d'appareils IoT.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: