Qu’est-ce qu’un botnet ? Définition, exemples et types de botnets

Un botnet est un groupe d’ordinateurs ou de dispositifs sous le contrôle d’un attaquant, utilisé pour mener des activités malveillantes contre une victime ciblée.

Le terme “botnet” est une combinaison des mots “robot” et “réseau” (network en anglais) pour représenter la nature d’une cyberattaque utilisant un botnet. Les botnets ont été responsables de certaines des pannes Internet les plus répandues, mettant hors service de grandes organisations et des infrastructures de réseau à partir d’une attaque par déni de service distribué (DDoS).

Pour contrôler plusieurs appareils, les attaquants doivent d’abord inciter les utilisateurs à installer un logiciel malveillant, ou malware.

Plusieurs auteurs distribuent gratuitement des logiciels malveillants de botnet aux attaquants potentiels, de sorte que les attaquants qui visent à causer des dommages et des pannes n’ont pas besoin de créer leur propre logiciel.

Exemple d’une attaque de botnet connue

Par exemple, Mirai cible les systèmes Linux IoT (Internet des objets) comme les routeurs, les caméras IP et les produits domotiques.

Le logiciel malveillant du botnet donne aux attaquants à distance la possibilité de contrôler les systèmes IoT fonctionnant sous Linux pour inonder une cible de trafic. Ce botnet a provoqué des pannes généralisées, créant jusqu’à 1 Tbit/seconde de données sur Internet, ciblant plusieurs entreprises, dont Krebs on Security, l’hébergeur français OVH et (surtout) Dyn, qui est un fournisseur central de services de noms de domaine (DNS) essentiel à la communication Internet standard.

Mirai était considéré comme une première du genre, mais les auteurs originaux ont fini par être arrêtés. Bien que les auteurs de Mirai aient été arrêtés, les attaquants disposent de nombreuses variantes du malware, notamment Okiru, Satori, Masuta et PureMasuta.

Un utilisateur peut être piégé pour installer le malware du botnet sur son appareil, ou il peut être installé en exploitant des vulnérabilités. Avec les logiciels malveillants IoT, les attaquants analysent des milliers d’appareils pour trouver des failles non corrigées.

Les appareils qui ne disposent pas de mécanismes de correction automatique sont susceptibles d’exécuter des services de micrologiciels vulnérables, ce qui laisse les appareils ouverts aux exploits et en fait des cibles parfaites pour les logiciels malveillants de type botnet.

Une fois qu’un nombre suffisant de dispositifs vulnérables ont été infectés par le malware botnet, un attaquant peut attendre un moment précis pour leur demander d’inonder une cible de trafic. Le réseau de machines infectées est appelé “réseau zombie” ou “zombienet” parce qu’il reste dormant jusqu’à ce qu’un attaquant envoie une commande centrale à ses appareils détournés.

Le logiciel malveillant est programmé pour rester silencieux et indétectable sur l’appareil jusqu’à ce qu’il reçoive des commandes.

Les logiciels malveillants de type botnet fonctionnent souvent avec un tableau de bord central de commande et de contrôle où les attaquants peuvent voir le nombre de dispositifs infectés et donner à tous les dispositifs l’ordre d’envoyer simultanément un trafic de déni de service (DoS) à un serveur ciblé. Lorsque le dispositif ne peut plus communiquer avec le serveur central de commande et de contrôle, il ne peut plus être utilisé dans une attaque.

Étant donné qu’un attaquant a le contrôle d’un dispositif distant, les botnets sont utilisés pour diverses attaques.

Certaines attaques sont lancées pour ajouter d’autres appareils au réseau de zombies, mais d’autres sont utilisées pour lancer une attaque DDoS ciblée afin de perturber les services en ligne. Les botnets sont particulièrement dangereux pour internet car ils peuvent mettre hors service des services de protocoles critiques et des applications web populaires potentiellement utilisés par des millions d’utilisateurs.

Voici quelques options d’attaque courantes des botnets :

• Lire et écrire des données système : Par exemple, un attaquant peut demander aux appareils d’envoyer des fichiers à un serveur central qui les examinera pour y déceler d’éventuelles données sensibles. Les fichiers système sensibles peuvent contenir des informations d’identification codées en dur pour une infrastructure, ce qui permet aux attaquants de tirer parti d’exploits supplémentaires contre l’organisation.
• Surveiller l’activité des utilisateurs : Les logiciels de botnet comprennent souvent d’autres logiciels malveillants qui peuvent être utilisés dans des attaques supplémentaires sans rapport avec le réseau. Par exemple, il n’est pas rare que le logiciel malveillant d’un botnet comprenne un enregistreur de frappe. Un keylogger enregistre les frappes sur le clavier de l’utilisateur et envoie les informations volées à un serveur contrôlé par l’attaquant, ce qui lui permet d’accéder à des comptes en ligne comme des sites bancaires.
• Analyser le réseau local à la recherche de vulnérabilités supplémentaires : Un attaquant qui veut lancer un DDoS scanne autant de dispositifs que possible à la recherche de vulnérabilités. Certains appareils se trouvent derrière un pare-feu, de sorte que les dispositifs exploités vont scanner les ressources du réseau local une fois qu’ils sont installés sur un seul appareil. Si un appareil local possède un micrologiciel obsolète, le malware peut exploiter la vulnérabilité et ajouter l’appareil vulnérable au réseau zombie.
• Lancer une attaque DDoS : Le DDoS est une attaque courante après qu’un attaquant a établi un botnet. L’attaquant a besoin de plusieurs milliers de machines pour lancer une attaque DDoS efficace. Des fournisseurs tels que Cloudflare peuvent être utilisés pour stopper les attaques DDoS, mais un attaquant disposant de dizaines de milliers de bots zombies à travers le monde peut tout de même provoquer une dégradation extrême des performances.
• Envoyer des spams par e-mail : Avec un accès aux comptes de messagerie sur les appareils locaux, l’attaquant peut commander un botnet pour envoyer des courriels à des destinataires ciblés. L’email pourrait contenir un malware pour le propager à d’autres machines, ou l’attaquant pourrait l’utiliser dans une campagne de phishing.

Les logiciels malveillants présents sur un appareil infecté restent inactifs jusqu’à ce qu’un attaquant envoie des commandes. L’attaquant dans un DDoS est souvent appelé botmaster, et le serveur central où l’attaquant contrôle tous les appareils et leur envoie des messages est appelé centre de commande et de contrôle ou “C&C”.

Le logiciel malveillant communique avec le C&C à l’aide de divers protocoles souvent activés sur les pare-feu afin que les messages ne soient pas bloqués. Par exemple, il n’est pas rare que les logiciels malveillants des botnets communiquent à l’aide du protocole HTTP, car la transmission HTTP n’est pas rare sur les réseaux professionnels ou domestiques et ne sera pas bloquée par les pare-feu d’entreprise.

Les réseaux de zombies étant très efficaces, les auteurs de logiciels malveillants monétisent leurs efforts en proposant des DDoS-as-a-service (DDaaS). Plusieurs appareils infectés par le malware du botnet se connectent au même C&C central, et les auteurs de malwares proposent des abonnements permettant à d’autres personnes de se connecter au C&C et d’envoyer leurs propres commandes.

Les auteurs de logiciels malveillants codent souvent des dispositifs de secours dans les applications de C&C. Si un C&C est mis hors service, un autre emplacement de C&C est inclus comme option de basculement valide. En créant une redondance dans le logiciel malveillant, un attaquant peut éviter de perdre tous les appareils infectés après que le service d’hébergement a annulé son compte.

Dans d’autres stratégies, un attaquant utilise un modèle peer-to-peer (P2P) dans lequel chaque appareil infecté fait également office de C&C. Si un seul ordinateur du réseau P2P tombe en panne, tous les autres appareils peuvent être utilisés pour envoyer des commandes aux autres. Les botnets P2P sont beaucoup plus difficiles à détruire, c’est pourquoi ils constituent souvent une méthode de communication privilégiée entre les appareils infectés.

Une fois les commandes envoyées aux appareils infectés, ceux-ci lancent l’attaque ou exécutent des actions en fonction des instructions du contrôleur. Les utilisateurs non avertis dont les appareils sont infectés peuvent constater une dégradation immédiate des performances sur leur réseau lorsqu’ils naviguent sur Internet ou sur leur appareil.

Un ordinateur peut fonctionner beaucoup plus lentement lorsqu’il est commandé par un C&C, ou d’autres utilisateurs du réseau peuvent subir des changements soudains de vitesse sur le réseau. Une fois l’attaque terminée, les performances reviennent et le logiciel malveillant redevient inactif.

Étant donné que l’infection par les botnets implique principalement des micrologiciels périmés, les utilisateurs doivent toujours patcher leurs appareils IoT, y compris le matériel fonctionnant sur le réseau. Les vulnérabilités des logiciels obsolètes sont courantes dans les cyberattaques car les utilisateurs laissent souvent les appareils sans correctif pendant des mois. Les routeurs, l’IoT dans la domotique, les caméras et d’autres matériels fréquemment négligés et considérés comme sûrs sont des cibles courantes pour les logiciels malveillants des botnets.

De nombreux fabricants de matériel IoT plus récent mettent en œuvre des procédures de mise à jour automatique des micrologiciels, mais les appareils plus anciens doivent être vérifiés pour les mises à jour de micrologiciels. Vous pouvez vérifier les mises à jour en vous rendant sur le site du fabricant du dispositif IoT et en recherchant les mises à jour en fonction de votre modèle.

Si vous pensez que votre ordinateur local pourrait être infecté par un logiciel malveillant de botnet, la meilleure façon de le détecter est d’analyser l’ordinateur à l’aide d’un logiciel anti-malware installé. Un bon logiciel anti-malware détecte le malware avant qu’il ne puisse être installé sur votre ordinateur, mais certains malwares de type “zero-day” peuvent être installés sans être détectés car ils n’ont pas été vus dans la nature.

Si le logiciel anti-malware n’est pas mis à jour, il ne peut pas détecter les nouveaux logiciels malveillants. Comme les auteurs de botnets continuent de modifier leur code et de créer des variantes à partir d’autres, les nouveaux logiciels malveillants échapperont à la détection des défenses informatiques. Pour protéger votre machine, mettez toujours votre logiciel anti-malware à jour lorsque votre fournisseur déploie de nouveaux correctifs.