Botnets: l'une des plus grandes menaces du cyberespace

(Pour Carlo Mauceli)
19/10/20

La cybersécurité est une responsabilité partagée, qui nous concerne tous. Nous devons partir de cette prise de responsabilité pour comprendre pleinement un phénomène qui mine la société dans laquelle nous vivons.

Les organisations enlèvent chaque jour un temps et des ressources précieux aux leurs cœur du métier pour se défendre et remédier aux cyberattaques. Cependant, en s'appuyant sur des dizaines d'outils complexes et souvent non connectés, les entreprises restent en danger car les cybercriminels peuvent exploiter cette lacune.

Dans ce scénario, les équipes de sécurité sont engagées dans une lutte ardue pour répondre de manière adéquate à la nature en constante évolution des menaces et au profil des cybercriminels, alors que les professionnels de la sécurité les plus expérimentés sont toujours peu nombreux sur le marché du travail.

Pour cette raison, il est de plus en plus nécessaire pour les entreprises opérant dans le domaine de la cybersécurité de se charger de sécuriser le cyberespace, et la nouvelle il y a quelques jours que Microsoft a démantelé une grande opération menée par des groupes pirate qui aurait pu influencer les élections présidentielles américaines de novembre doit être lu sous cet angle. 

Le réseau démantelé s'appelait Trickbot et c'était un soi-disant "botnet", c'est-à-dire un réseau d'appareils infectés par des logiciels malveillants qui, dans ce cas, avait atteint plus d'un million d'appareils. Grâce à la diffusion des "ransomwares", software bloquant un ordinateur demandant une rançon, ces réseaux peuvent interrompre certains processus liés au vote, comme les bulletins électroniques ou les consultations des listes électorales mais pas seulement.

Le botnet sont aujourd'hui l'une des menaces majeures pesant sur les systèmes de sécurité. Ils sont de plus en plus utilisés par les cybercriminels car ils leur permettent d'infiltrer presque tous les appareils connectés à Internet, du lecteur DVR aux ordinateurs centraux d'entreprise.

De nombreux cybercriminels utilisent botnet à faire cryptojacking, c'est-à-dire l'extraction illégale de crypto-monnaies sur des systèmes informatiques tiers. Il s'agit d'une tendance croissante selon laquelle de plus en plus d'ordinateurs seront infectés par malware di santé respiratoire exploitation minière et de plus en plus de portefeuilles numériques seront volés.

En plus d'être de dangereux outils de persuasion politique e cryptojackingle botnet ils constituent une menace pour les entreprises et les consommateurs car ils se propagent malware, attaquer des sites Web, voler des données personnelles et frauder des annonceurs. En bref, le botnet sont clairement un gros problème, mais sommes-nous sûrs de savoir exactement ce qu'ils sont et comment fonctionnent-ils? Et comment protégez-vous vos appareils et vos données personnelles? La première chose à faire est de comprendre comment ils sont fabriqués. À ce stade, nous pouvons apprendre à sécuriser nos appareils.

Signification de botnet

Pour mieux comprendre son fonctionnement, essayons de donner une définition du botnet. Le terme «botnet» est la fusion des termes «robot» et «réseau». En général, le botnet ils ne sont que cela: un réseau de robots utilisés pour commettre la cybercriminalité. Les cybercriminels qui les contrôlent sont appelés maître des robots o bot herder qui, techniquement, signifie «bergers», soulignant comment l'efficacité d'un botnet dépend de son extension.

Taille d'un botnet

Créer un botnetle maître des robots ils doivent vérifier des milliers d'appareils infectés (bots) et connectés à Internet. La taille d'un botnet dépend directement du nombre de bots connectés. Plus le botnet, plus il fait de dégâts.

Les cybercriminels utilisent botnet pour obtenir un effet disruptif et amplifié. Ils ordonnent à leur armée de robots infectés de surcharger un site Web au point qu'il cesse de fonctionner et les visiteurs se voient refuser l'accès. Les attaques de ce type sont appelées Distributed Denial of Service (DDoS), qui signifie en anglais «interruption de service distribuée».

Infections par botnet

Normalement, le botnet ils ne sont pas créés pour endommager un seul ordinateur, mais pour infecter des millions d'appareils, comme le cas de mars 2020 du botnet Nécurs. Souvent, pour intégrer des ordinateurs dans botnetle maître des robots utiliser des virus de type Trojan.

La stratégie est la suivante- L'utilisateur infecte son système sans le savoir en ouvrant une pièce jointe frauduleuse, en cliquant sur une annonce pop-up ou en téléchargeant un logiciel infecté à partir d'un site Web non approuvé. Une fois l'appareil infecté, le botnet peut afficher et modifier les données personnelles présentes, les utiliser pour attaquer d'autres ordinateurs et commettre d'autres délits informatiques.

Plusieurs botnet les plus complexes peuvent même s'étendre automatiquement, trouvant et infectant de nouveaux appareils sans l'intervention directe du maître des robots. Les robots sur ces réseaux recherchent en permanence d'autres appareils connectés à Internet pour infecter et cibler ceux qui ont un système d'exploitation obsolète ou sans software antivirus.

Le botnet ils sont difficiles à détecter: ils utilisent une quantité négligeable de ressources informatiques afin de ne pas interférer avec le fonctionnement normal des programmes et ne suscitent aucune suspicion chez l'utilisateur. le botnet les plus avancés sont également capables de modifier leur comportement en fonction des systèmes de cybersécurité des ordinateurs pour éviter d'être détectés. Dans la plupart des cas, les utilisateurs ne savent pas que leurs appareils sont connectés à un botnet et contrôlé par les cybercriminels. Pire encore, les botnets continuent d'évoluer et les nouvelles versions sont de plus en plus difficiles à détecter.

Enfin, le botnet ils ont besoin de temps pour grandir. Beaucoup restent inactifs tant que le nombre de bots connectés est suffisamment élevé. À ce stade, le maître des robots les active et ordonne à tous les robots de mener une attaque DDoS ou une livraison massive de le spam.

Le botnet ils peuvent infecter pratiquement n'importe quel appareil connecté à Internet. PC, ordinateurs portables, appareils mobiles, DVR, SmartWatch, les caméras de sécurité et même les appareils intelligents peuvent être intégrés en un botnet.

De ce point de vue, le développement deInternet des Objets (IoT) est une aubaine pour moi maître des robots, qui auront de plus en plus d'opportunités d'étendre leur propre botnet et causer des dommages encore plus importants. Prenez Dyn, par exemple, la grande entreprise d'infrastructure Internet qui a subi l'une des pires attaques DDoS à grande échelle en 2016. A cette occasion, on a utilisé botnet fait de caméras de sécurité et de DVR. L'attaque a perturbé Internet, le rendant inutilisable dans de vastes régions des États-Unis.

Botnet sur le Web

L'un des aspects les plus controversés du Web est qu'il met toutes les ressources à la disposition de tous, même illégales. En fait, les pirates n'ont même pas besoin de savoir comment créer botnet. Sur Internet, vous pouvez les acheter ou même les louer! Après avoir infecté et englouti des milliers d'appareils, les botmasters recherchent d'autres cybercriminels qui ont besoin d'un botnet. Ainsi, les acheteurs peuvent mener d'autres cyberattaques ou voler des données personnelles sans être avertis en informatique.

La législation sur botnet et la cybercriminalité est en constante évolution. Depuis le botnet deviennent une menace de plus en plus sérieuse pour les infrastructures Internet, les systèmes de télécommunications et même les réseaux de distribution électrique, tôt ou tard, les utilisateurs seront tenus d'assurer la sécurité de leurs appareils. Les réglementations en matière de cybersécurité sont susceptibles d'imposer davantage de responsabilités aux utilisateurs pour les crimes commis avec leurs appareils à l'avenir.

Structure des botnets

Le botnet peut être conçu de deux manières, toutes deux destinées à maximiser le contrôle maître des robots à propos des bots:

  • Modèle client-serveur. Dans ce genre de botnet un serveur contrôle les transmissions de données de chacun client, comme dans la structure classique d'un réseau. le maître des robots utiliser un software pour créer des serveurs Commander et contrôler (C&C), qui donnent des instructions à chaque appareil client. Ce modèle est idéal pour garder le contrôle sur botnet, mais il présente plusieurs inconvénients: il est assez facile pour les forces de l'ordre de localiser le serveur C&C et il n'a qu'un seul centre de contrôle. Une fois la serveur, la botnet il n'existe plus.
  • D'égal à égal. Au lieu de s'appuyer sur un serveur C&C central, les nouveaux botnets reposent sur une structure peer-to-peer (P2P). Dans un botnet P2P, chaque appareil infecté fonctionne à la fois comme client être comme serveur. Chaque bot dispose d'une liste d'autres appareils infectés et les contacte lorsqu'il a besoin de mettre à jour ou de transmettre des informations. le botnet Les P2P sont plus difficiles à démanteler pour les forces de l'ordre parce qu'ils n'ont pas d'origine centrale.

Prévention des botnets

À ce stade, il devrait être clair que pour prévenir l'infection par botnet, il est nécessaire d'adopter une stratégie à plusieurs volets, basée principalement sur des règles pour une navigation sécurisée et un système de protection antivirus dont la responsabilité incombe à l'utilisateur. En particulier, il doit:

  • Mettre à jour le système d'exploitation
  • N'ouvrez pas les pièces jointes provenant d'expéditeurs inconnus ou suspects
  • Ne téléchargez pas de fichiers à partir de réseaux P2P et Le partage de fichiers.
  • Ne clique pas lien suspects
  • Utilisez un logiciel antivirus et de sécuritépoint final.

Ce que nous pouvons faire en tant qu'utilisateurs nous permet de limiter le risque de faire partie d'un botnet mais si nous revenons à la façon dont nous avons commencé l'article, il est clair que le démontage d'un botnet ce n'est pas une action qui peut être effectuée par une seule entreprise. Nous avons besoin de la collaboration de nombreux acteurs et de l'intervention des composantes juridiques. Dans le cas précis, comme dans d'autres cas dans un passé récent, Microsoft a été autorisé à procéder à la destruction du réseau par le tribunal du district oriental de Virginie.

La bonne technologie et le bon fonctionnement ne suffisent pas pour garantir au monde la plus grande sécurité possible: il faut renforcer tout l'écosystème, unir les forces de l'ensemble du secteur informatique et collaborer directement avec les gouvernements et les institutions démocratiques. Microsoft a récemment pris des mesures significatives dans ce sens en collaborant avec des entreprises technologiques, décideur politique et des institutions décisives pour le processus démocratique de défense des élections de mi-mandat. Le programme «Defending Democracy» vise à protéger les campagnes politiques contre l'intrusion de cybercriminels, à renforcer la sécurité du processus électoral, à se défendre contre la désinformation et à une plus grande transparence de la publicité politique en ligne. Une partie du programme est représentée par l'initiative AccountGuard, qui fournit une cyberprotection de pointe sans frais supplémentaires à tous les candidats et bureaux de campagne aux niveaux fédéral, étatique et local, ainsi qu'à d'autres organisations essentielles au processus démocratique. Au cours du premier mois, ils ont rejoint AccountGuard plus de 30 organisations. L'initiative, initialement concentrée sur les activités des principaux partis nationaux, est désormais étendue non seulement aux comités représentatifs des deux principaux partis des États-Unis, mais aussi aux think tank et des campagnes de haut niveau.

Photo: web