Aquabot Botnet
Une variante de botnet basée sur Mirai, connue sous le nom d'Aquabot, a été détectée et tente activement d'exploiter une faille de sécurité affectant les téléphones Mitel. Les attaquants visent à intégrer ces appareils dans un botnet capable de lancer des attaques par déni de service distribué (DDoS).
Table des matières
La vulnérabilité en vedette : CVE-2024-41710
La faille de sécurité ciblée, CVE-2024-41710, a un score CVSS de 6,8 et provient d'une vulnérabilité d'injection de commande dans le processus de démarrage. Cette faille peut permettre aux attaquants d'exécuter des commandes arbitraires dans l'environnement d'exploitation du téléphone.
Appareils concernés et détails du correctif
La vulnérabilité affecte plusieurs modèles de téléphones Mitel, notamment les téléphones SIP des séries 6800, 6900, 6900w et l'unité de conférence 6970. Mitel a résolu le problème en juillet 2024, mais un exploit de preuve de concept (PoC) est devenu public en août, ouvrant potentiellement la porte aux acteurs de la menace.
Plusieurs vulnérabilités en jeu
Outre la vulnérabilité CVE-2024-41710, Aquabot a été observé ciblant d'autres vulnérabilités, notamment CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 et CVE-2023-26801. Le botnet a également tenté d'exploiter une faille d'exécution de code à distance dans les appareils Linksys de la série E, ce qui indique une large surface d'attaque.
Aquabot : un botnet basé sur Mirai avec une histoire
Aquabot est un botnet dérivé du célèbre framework Mirai , conçu explicitement pour exécuter des attaques DDoS. Les chercheurs suivent son activité depuis novembre 2023, avec des preuves d'une évolution continue.
Exploiter la faille : mécanisme d’attaque
Les premiers signes d'exploitation active contre CVE-2024-41710 sont apparus début janvier 2025. Les attaquants déploient le malware botnet en exécutant un script shell, qui récupère la charge utile menaçante à l'aide de la commande « wget ». La méthode d'attaque ressemble beaucoup à l'exploit PoC disponible au public.
Une variante plus furtive et plus avancée
La variante Aquabot impliquée dans ces attaques semble être la troisième itération du malware. Elle introduit une nouvelle fonction « report_kill », qui informe le serveur de commande et de contrôle (C2) chaque fois que le processus du botnet est terminé. Cependant, rien ne prouve que cette fonction déclenche une réponse immédiate du serveur.
De plus, la nouvelle variante se fait passer pour « httpd.x86 » pour éviter d'être détectée et est programmée pour mettre fin à des processus spécifiques, tels que les shells locaux. Ces améliorations suggèrent des efforts pour rendre Aquabot plus évasif et détecter potentiellement l'activité des botnets concurrents.
Vente d’accès : l’opération DDoS clandestine à louer
Des indices pointent vers les acteurs malveillants à l'origine d'Aquabot, qui proposent leur botnet comme service DDoS sur Telegram. Ils opèrent sous des pseudonymes tels que Cursinq Firewall, The Eye Services et The Eye Botnet, exploitant des hôtes compromis pour fournir des capacités d'attaque aux clients payants.
Vue d’ensemble : la menace persistante de Mirai
La résurgence des menaces basées sur Mirai, comme Aquabot, met en évidence les risques persistants associés aux appareils connectés à Internet. Bon nombre de ces appareils souffrent d'une sécurité inadéquate, de logiciels obsolètes ou d'identifiants par défaut, ce qui en fait des cibles faciles à exploiter.
Une justification trompeuse des attaquants
Les pirates informatiques prétendent souvent que leurs opérations de botnet ont pour seul but de tester ou d’éduquer les chercheurs et les forces de l’ordre. Cependant, une analyse plus approfondie révèle souvent leurs véritables intentions : proposer des services DDoS ou se vanter ouvertement de leurs activités de botnet sur des forums clandestins et des chaînes Telegram.
