Radware, un spécialiste de la distribution d’applications et de la cybersécurité, a découvert l’existence d’un botnet, nommé BrickerBot, qui empêche de façon permanente des appareils connectés à Internet de fonctionner, avec des attaques PDoS : Permanent Denial of Service, Déni permanent de service.

PDos est une attaque qui endommage un appareil à tel point qu’il doit être remplacé. En exploitant des failles de sécurité ou des mauvaises configurations, au premier chef des noms d’utilisateurs et des mots de passe par défaut, PDoS détruit le micrologiciel et/ou les fonctions de base d’un système.

Rançon du succès, ce botnet vise les appareils exploitant Linux, soit la plupart des appareils disponibles.

Radware a utilisé un honeypot, c’est-à-dire des systèmes imitant de vrais appareils dans le but d’attirer des attaquants, pendant quatre jours.

Durant cette période, elle a recensé 1 895 attaques PDoS, provenant du monde entier, lancées par des appareils dont la plupart appartiennent à un réseau nommé Ubiquiti par Shodan.

Comme Mirai, le logiciel malveillant à l’origine du botnet éponyme d’appareils IoT comme les caméras et les enregistreurs électroniques, BrickerBot utilise une attaque brute en telnet pour prendre le contrôle d’un appareil connecté.

Puis le bot lance une série de commandes Linux (cf illustration) afin de détruire le stockage, perturber les connexions et les performances, et effacer tous les fichiers.

Radware a découvert une seconde vague de 395 attaques, par ce qu’elle a nommé BrickerBot2, un botnet qui se cache en utilisant Tor. Les bots sont encore plus sophistiqués, envoyant des commandes supplémentaires afin de supprimer toutes les règles d’un pare-feu et de routage NAT.

Il est donc fortement conseillé de changer les comptes et les mots de passe par défaut d’appareils connectés, y compris les routeurs et points d’accès, et de désactiver l’accès telnet.