Plus précisément, le pot de miel était destiné à créer un écosystème suffisamment diversifié et à regrouper les données générées d'une manière qui détermine les objectifs des attaquants.
Les appareils IdO (Internet des objets) constituent un marché en plein essor qui comprend de petits appareils connectés à Internet tels que des caméras, des lampes, des sonnettes, des téléviseurs intelligents, des capteurs de mouvement, des haut-parleurs, des thermostats et bien d'autres encore.
On estime que d'ici 2025, plus de 40 milliards de ces appareils seront connectés à Internet, fournissant des points d'entrée sur le réseau ou des ressources de calcul qui peuvent être utilisés pour le minage de crypto-monnaie non autorisé ou dans le cadre d'essaims DDoS.
Préparer le terrain
Les trois composants de l'écosystème du pot de miel mis en place par les chercheurs du NIST (National Institute of Standards and Technology) et de l'Université de Floride comprenaient des fermes de serveurs, un système de contrôle et une infrastructure de capture et d'analyse des données.
Les chercheurs ont configuré leurs instances pour qu'elles apparaissent comme de véritables dispositifs sur Censys et Shodan, deux moteurs de recherche spécialisés dans la recherche de services connectés à Internet.
Les trois principaux types de pots de miel étaient les suivants :
- HoneyShell - Émulation de Busybox
- HoneyWindowsBox - Émulation de périphériques IdO fonctionnant sous Windows
- HoneyCamera - Émulation de diverses caméras IP de Hikvision, D-Link et d'autres appareils.
Un élément nouveau dans cette expérience est que les pots de miel ont été ajustés pour répondre au trafic et aux méthodes d'attaque des attaquants.
Les chercheurs ont utilisé les données collectées pour modifier la configuration et les défenses de l'IdO, puis recueillir de nouvelles données reflétant la réponse de l'acteur à ces changements.
Les résultats
L'expérience a généré des données provenant de 22,6 millions d'accès, la grande majorité ciblant le pot de miel HoneyShell.
Les différents acteurs présentaient des schémas d'attaque similaires, probablement parce que leurs objectifs et les moyens de les atteindre étaient communs.
Par exemple, la plupart des acteurs exécutent des commandes telles que "masscan" pour rechercher les ports ouverts et "/etc/init.d/iptables stop" pour désactiver les pare-feu.
En outre, de nombreux acteurs exécutent les commandes "free -m", "lspci grep VGA" et "cat /proc/cpuinfo", qui visent toutes trois à collecter des informations matérielles sur le périphérique cible.
Il est intéressant de noter que près d'un million d'occurrences ont testé la combinaison nom d'utilisateur-mot de passe "admin / 1234", ce qui reflète une surutilisation des informations d'identification dans les appareils IdO.
En ce qui concerne les objectifs finaux, les chercheurs ont constaté que les pots de miel HoneyShell et HoneyCamera étaient principalement ciblés pour le recrutement de DDoS (attaque par déni de service) et étaient souvent également infectés par une variante de Mirai ou un monnayeur.
Les infections par des mineurs de pièces étaient l'observation la plus courante sur le pot de miel Windows, suivies par les virus, les droppers et les chevaux de Troie.
Dans le cas de la HoneyCamera, les chercheurs ont intentionnellement créé une vulnérabilité pour révéler des informations d'identification et ont remarqué que 29 acteurs se sont engagés à exploiter la faille manuellement.
"Seules 314 112 (13 %) sessions uniques ont été détectées avec au moins une exécution de commande réussie à l'intérieur des pots de miel", explique le document de recherche.
"Ce résultat indique que seule une petite partie des attaques ont exécuté leur étape suivante, et que le reste (87 %) a uniquement essayé de trouver la bonne combinaison nom d'utilisateur/mot de passe."
Comment sécuriser vos appareils
Pour empêcher les pirates de prendre le contrôle de vos appareils IdO, convient de suivre ces mesures de base :
- Changez le compte par défaut en quelque chose d'unique et de fort (long).
- Configurez un réseau distinct pour les appareils IdO et gardez-le isolé des actifs critiques.
- Veillez à appliquer toute mise à jour de firmware ou autre mise à jour de sécurité disponible dès que possible.
- Surveillez activement vos appareils IdO et recherchez les signes d'exploitation.
Plus important encore, si un appareil n'a pas besoin d'être exposé à Internet, veillez à ce qu'il soit situé derrière un pare-feu ou un VPN pour empêcher tout accès à distance non autorisé.
Source : Arxiv
Et vous ?
Que pensez-vous des résultats de cette expérience ?
Qu'en est-il des appareils IdO que vous utilisez ? sont-ils fréquemment attaqués ? les attaques aboutissent-elles ? quel type d'appareil est le plus souvent cible d'attaques ?
Voir aussi :
IdO : Le Royaume-Uni prévoit d'adopter une loi visant à interdire les mots de passe universels par défaut, les entreprises ne répondant pas aux nouvelles normes risquent de lourdes amendes
Des jouets sexuels intelligents populaires contiennent des vulnérabilités qui pourraient compromettre la confidentialité des images intimes, qu'un utilisateur partage avec un autre, selon ESET
Une cafetière connectée hackée exige une rançon si le propriétaire veut qu'elle fonctionne correctement, un chercheur espère que cette démonstration va souligner les menaces liées à l'IdO