Botnet SORA

Le Botnet SORA est une variante basée sur le code du tristement célèbre Mirai Botnet. Depuis que le code source de Mirai a été rendu public sur un forum de hackers en 2016, plusieurs campagnes impliquant des variantes personnalisées du botnet ont été détectées. Dans le cas de SORA, il a été conçu pour abuser de deux vulnérabilités. Pour l'exécution de code à distance, il exploite CVE-2017-17215, tandis que CVE-2018-10561 donne au malware la capacité de gérer le périphérique infecté.

Une fois qu'un appareil approprié est compromis, un téléchargeur est supprimé de l'infrastructure de commande et de contrôle (C2, C&C) configurée pour la campagne. Ce logiciel malveillant de première étape est chargé de fournir et d'exécuter la charge utile SORA réelle dans la deuxième étape de la chaîne d'attaque.

SORA a été déployé aux côtés d'une autre variante de Mirai Botnet appelée UNSTABLE dans une campagne ciblant les systèmes de stockage de vidéosurveillance Rasilient PixelStor5000. Le vecteur d'entrée spécifique était la vulnérabilité CVE-2020-6756, qui permet aux pirates d'exécuter des commandes RCE via le paramètre «lang».

Étant donné que les botnets ont besoin d'une quantité importante d'appareils compromis, qu'ils transforment intrinsèquement en robots, pour remplir leurs fonctions, il n'est pas si surprenant que les pirates décident d'élargir leur gamme initiale de cibles. Lorsque la masse critique est atteinte, les botnets peuvent provoquer des perturbations massives via des attaques par déni de service distribué (DDoS). En effet, l'objectif de la plupart des criminels est de proposer leur botnet à la location à tout acteur de menace potentiel qui souhaite effectuer de telles attaques.