Les recherches de Kaspersky ont mis au jour une économie souterraine florissante sur le dark web, axée sur les services liés à l’IoT. Plus particulièrement, les attaques par déni de service distribué (DDoS) orchestrées par des botnets IoT sont très demandées par les cybercriminels. Au cours du premier semestre 2023, les analystes du service Digital Footprint Intelligence de Kaspersky ont identifié plus de 700 annonces de services d’attaques DDoS sur divers forums du dark web.

Le coût de ces services varie en fonction de différents paramètres comme la présence de dispositifs de protection DDoS, le CAPTCHA et la vérification JavaScript sur l’appareil de la victime, et peuvent chiffrer de 20 dollars par jour à 10 000 dollars par mois. En moyenne, les annonces proposaient ces services pour un montant de 63,5 dollars par jour ou 1350 dollars par mois.

On retrouve aussi sur le marché des exploits pour des vulnérabilités de type "zero-day" dans les appareils IoT, ainsi que des logiciels malveillants IoT vendus avec équipements utilitaires et infrastructure.

Il existe toute une série de familles de logiciels malveillants IoT, dont beaucoup sont issues de celle de 2016, Mirai. La concurrence féroce entre les cybercriminels a conduit au développement de fonctionnalités conçues pour contrecarrer les logiciels malveillants rivaux. Ces stratégies comprennent la mise en œuvre de règles de pare-feu, la désactivation de la gestion à distance des appareils et l’arrêt des processus liés aux logiciels malveillants concurrents.

La principale méthode d’infection des appareils IoT reste le piratage des mots de passe faibles par force brute, suivi de l’exploitation des vulnérabilités des services réseau. Les attaques par force brute sur les appareils sont généralement dirigées vers Telnet, un protocole non crypté largement utilisé. Les cybercriminels utilisent cette méthode pour obtenir un accès non autorisé en déchiffrant les mots de passe, ce qui leur permet d’exécuter des commandes arbitraires et des logiciels malveillants. Bien que le protocole SSH, réputé plus sûr, soit également vulnérable, il est plus difficile à corrompre pour les cyberattaquants.

Au cours du premier semestre 2023, les honeypots mis en place par Kaspersky ont permis de rendre compte que 97,91 % des tentatives de force brute de mot de passe se concentrent sur Telnet, avec seulement 2,09 % d’entre elles dirigées vers les protocoles SSH. Ces attaques ciblent principalement des victimes en Chine, en Inde et aux États-Unis, tandis que la Chine, le Pakistan et la Russie sont les pays émetteurs les plus actifs.
À noter que les appareils IoT sont vulnérables en raison d’exploits dans les services qu’ils utilisent. Ces attaques impliquent souvent l’exécution de commandes malveillantes en exploitant les vulnérabilités des interfaces web de l’IoT, qui peuvent avoir de graves conséquences comme la propagation de logiciels malveillants à l’instar de Mirai.

« Kaspersky invite les fournisseurs d’appareils IoT à prioriser la cybersécurité, dans les secteurs grand public et industriels. Nous pensons qu’ils doivent rendre obligatoire le changement des mots de passe par défaut sur les appareils IoT et publier régulièrement des correctifs pour remédier aux vulnérabilités existantes. En résumé, le secteur IoT connaît son lot de cyber-dangers, notamment les attaques DDoS, les ransomwares et les problèmes de sécurité dans les appareils domestiques et industriels intelligents. Le rapport de Kaspersky souligne la nécessité d’une approche responsable de la sécurité de l’IoT, obligeant les fournisseurs à renforcer la sécurité de leurs produits dès le départ et à protéger les utilisateurs de manière proactive », commente Yaroslav Shmelev, expert en sécurité chez Kaspersky.

Les logiciels malveillants IoT
Les appareils IoT sont vulnérables à différents types de logiciels malveillants, dont chacun sert des objectifs distincts :
1. Botnets DDoS : Ces programmes malveillants prennent le contrôle des appareils IoT pour lancer des attaques par déni de service distribué (DDoS) sur un large éventail de services.
2. Ransomware : Ciblant les appareils IoT, en particulier ceux qui contiennent des données utilisateur comme les boîtiers NAS, les ransomwares chiffrent les fichiers et exigent des rançons pour les déchiffrer.
3. Mineurs : Malgré leur puissance de traitement limitée, certains cybercriminels tentent d’utiliser les appareils IoT pour le minage de crypto-monnaies.
4. Modificateurs de DNS : Certains logiciels malveillants modifient les paramètres DNS des routeurs Wi-Fi, redirigeant les utilisateurs vers des sites web malveillants.
5. Proxy Bots : Les appareils IoT infectés sont utilisés comme serveurs proxy pour réacheminer le trafic malveillant, ce qui rend ces attaques difficiles à tracer et à contrecarrer.

Pour protéger les appareils IoT industriels et des clients, les experts de Kaspersky recommandent de :
• Réaliser des audits de sécurité réguliers des systèmes OT afin d’identifier et d’éliminer les éventuelles vulnérabilités.
• Utiliser des solutions de surveillance, d’analyse et de détection du trafic réseau ICS pour une meilleure protection contre les attaques menaçant potentiellement les processus technologiques et les principaux actifs de l’entreprise.
• Veiller à protéger les terminaux industriels aussi bien que les terminaux d’entreprise. La solution Kaspersky Industrial CyberSecurity comprend une protection dédiée aux terminaux et une surveillance du réseau pour révéler toute activité suspecte et potentiellement malveillante dans le réseau industriel.
• Lors de la mise en œuvre de l’IoT, il convient d’évaluer l’état de la sécurité d’un appareil avant sa mise en œuvre. Il convient de privilégier les appareils dotés de certificats de cybersécurité et les produits des fabricants qui accordent une plus grande attention à la sécurité de l’information.
• Ne pas oublier de changer le mot de passe par défaut de vos appareils domestiques intelligents. Il faut utiliser un mot de passe strict et complexe et le mettre à jour régulièrement. Un gestionnaire de mot de passe fiable, tel que Kaspersky Password Manager, peut vous aider à générer un mot de passe sécurisé.
• Ne pas partager les numéros de série, les adresses IP et d’autres informations sensibles concernant les appareils intelligents que vous possédez sur les réseaux sociaux
• Se montrer vigilant et toujours vérifier les dernières informations sur les vulnérabilités IoT découvertes.
• Une bonne pratique consiste à lire des avis et à faire des recherches sur la sécurité des appareils avant de les acheter. Vous pouvez noter comment le fabricant réagit aux vulnérabilités découvertes. S’il résout rapidement les problèmes signalés par les chercheurs, c’est bon signe.