Le groupe Lizard Squad a encore fait parler de lui. Ce collectif de hackers a développé et commercialise un outil d’attaque DDoS (attaque par déni de service distribué) qui porte le nom de « LizardStresser ». Après le réseau Tor et des plateformes de jeux vidéo, le programme LizardStresser aurait été utilisé pour détourner des centaines de caméras de surveillance, dont la plupart sont localisées au Brésil. Les hackers ont pu ainsi créer un botnet pouvant faire des attaques de 400 Go de données par seconde. Pour information, un botnet est un réseau de programmes connectés à internet communiquant avec d’autres programmes similaires afin d’exécuter certaines tâches. C’est Matthew Bing, un spécialiste en sécurité informatique travaillant pour le compte d’Arbor Networks, qui a découvert les séries d’attaques DDoS menées à partir de caméras de surveillance. Selon lui, les caméras de surveillance auraient envoyé des attaques de 400 Go de données par seconde. Elles auraient touché des sites appartenant à des organismes bancaires, des sociétés de télécommunication et des agences gouvernementales au Brésil. Des sociétés de jeux implantées aux États-Unis seraient aussi victimes de ces attaques DDoS.
Faisant partie des appareils IdO (Internet des Objets), les caméras de surveillance constituent une bonne cible pour les hackers. En effet, les systèmes d’exploitation qu’elles utilisent sont des versions simplifiées, certaines fonctions de sécurité sont ainsi manquantes. De plus, elles utilisent souvent des mots de passe par défaut qui peuvent être utilisés par plusieurs produits d’un même fabricant IdO. En effet, ces fabricants se servent souvent d’une même application ou d’un même composant électronique pour plusieurs produits. C’est justement cette faille que les hackers auraient exploitée pour contrôler les caméras de surveillance. Après analyse, Matthew Bing a affirmé que presque 90 % des caméras de surveillance sont gérées via l’outil NETSurveillance WEB, dont le mot de passe par défaut est disponible en ligne.
Dans cette série d’attaques DDoS, le spécialiste en sécurité informatique a remarqué que la plupart des caméras piratées se trouvaient au Brésil. Il évoque ainsi trois possibilités : soit l’outil DDoS LizardStresser a généré les adresses IP au hasard afin de mener une attaque par force brute, soit l’auteur des attaques DDoS a modifié le code source afin de cibler particulièrement le Brésil, soit la plupart des caméras de surveillance au Brésil sont accessibles via l’interface NETSurveillance WEB.
Le code LizardStresser a été utilisé pour réaliser des attaques de 400 Go par seconde sur de nombreux sites. Matthew Bing a remarqué qu’il n’y avait ni usurpation d’adresse IP ni utilisation de protocoles d’amplification UDP, comme le Network Time Protocol ou NTP. L’analyse d’une instance du code LizardStresser a aussi permis de mettre en avant le fait que les attaques DDoS évoluaient d’une minute à l’autre, passant d’une attaque de type HOLD flood, à une attaque UDP flooding puis à une attaque TCP flooding. Pour information, l’attaque UDP flooding entraîne une congestion du réseau et une saturation des ressources des deux hôtes victimes. Cela résulte du fait que le trafic UDP est prioritaire sur le trafic TCP. L’attaque TCP flooding, quant à elle, atteint les ressources par envoi massif d’accusés de réception.
Le code LizardStresser, développé par Lizard Squad, continue de faire des ravages et ces attaques DDoS mettent en avant la vulnérabilité des objets connectés. En effet, la plupart des utilisateurs ne prennent pas la peine de changer le mot de passe par défaut des dispositifs IoT, une faille qui a permis à l’outil LizardStresser de détourner des centaines de caméras de surveillance et d’en créer un grand botnet pour réaliser des attaques DDoS.
Source : Arbor Netwoks
Et vous ?
Qu’en pensez-vous ?Voir aussi :
Un chercheur a découvert un code malveillant sur des caméras IP vendues sur Amazon et qui peut entraîner une surveillance illégale 
Envoyé par TiranusKBX
