360Netlab note qu’il s’agit de l’activité la plus élevée par rapport aux autres botnets étudiés précédemment.
L’interaction entre le botnet et la « victime » s’est déroulée en plusieurs étapes (voir figure ci-dessous). Tout d’abord, le port TCP 5431 a été scanné. Ensuite, le port UDP 1900 a été vérifié : une séquence spécifique lui a été envoyée, dans l’attente d’une URL vulnérable fournie par l’appareil en réponse. Après avoir reçu le lien vulnérable, quatre autres sessions avec l’appareil ont eu lieu afin de déterminer le point d’entrée pour exécuter le code shell dans la mémoire de l’appareil. En conséquence, l’appareil a été transformé en un bot qui effectuait les tâches du botnet principal.

Pour l’avenir, il convient de noter que les ports 5431 et 1900 n’ont pas été choisis au hasard, car le service UPnP fonctionne généralement sur ces ports. Cela signifie que ce service, qui est activé par défaut sur la plupart des appareils, présente une vulnérabilité. Nous examinerons la liste des appareils plus tard.
Pendant longtemps, les experts n’ont pas été en mesure de détecter ce problème. Le problème consistait à faire en sorte que le honeypot (une ressource qui sert d’appât pour les attaquants) imite un appareil dans le scénario décrit ci-dessus. Ce n’est qu’en octobre 2018, après un long processus de configuration, qu’ils ont réussi à le faire et à tromper le botnet. Le projet a été baptisé BCMUPnP_Hunter.
Des recherches plus approfondies ont montré que le botnet présente les caractéristiques suivantes :
- Le nombre d’infections est très élevé, avec environ 100 000 adresses IP actives en cours d’analyse à chaque événement.
- La cible de l’infection est principalement les équipements routeurs sur lesquels la fonction BroadCom UPnP est activée.
- Le serveur de l’attaquant envoie des e-mails via ce botnet, qui est essentiellement un serveur proxy. Actuellement, les requêtes adressées à des serveurs de messagerie connus tels que Outlook, Hotmail, Yahoo! Mail, etc. sont enregistrées. Les chercheurs pensent que l’objectif des attaquants est d’envoyer des spams.
La fréquence et le nombre de nœuds de scan sont indiqués dans le graphique ci-dessous.

Comme on peut le constater, l’activité augmente tous les 1 à 3 jours et atteint parfois 100 000 nœuds. Le nombre total de nœuds attaquants est d’environ 3,34 millions, mais il n’est pas exclu que les mêmes appareils puissent avoir des adresses IP différentes.
La localisation géographique des renifleurs est indiquée sur la carte.

L’Inde arrive en tête avec 147 700 nœuds, suivie des États-Unis et de la Chine.
La liste des appareils vulnérables comprend de nombreuses marques populaires telles que Cisco, Zyxel, D-Link, Eltex et TP-Link. Au total, on compte environ 116 appareils, mais les chercheurs soulignent que ce nombre pourrait être plus élevé. La liste complète est fournie ci-dessous.
Les conséquences sont évidentes : 100 % des adresses IP des fournisseurs sont sur liste noire des services antispam.
Il est intéressant de noter qu’une grande partie des appareils vulnérables sont des routeurs ADSL. C’est probablement une coïncidence, mais il ne faut pas oublier que le xDSL est encore utilisé dans de nombreux pays en développement très peuplés.
Stingray offre une protection contre les attaques DDoS et la nouvelle version intègre une fonction mini-Firewallmini-pare-feu, que nous détaillerons prochainement dans notre blog. Pour plus d’informations sur les avantages de la plateforme, son utilisation efficace dans les réseaux de télécommunications, ainsi que sur la migration depuis d’autres plateformes et l’intégration avec d’autres systèmes, veuillez contacter les spécialistes de VAS Experts, développeur et fournisseur du système d’analyse de trafic Stingray Service Gateway.
Complete list of vulnerable devices
ADB Broadband S.p.A, HomeStation ADSL Router
ADB Broadband, ADB ADSL Router
ADBB, ADB ADSL Router
ALSiTEC, Broadcom ADSL Router
ASB, ADSL Router
ASB, ChinaNet EPON Router
ASB, ChinaTelecom E8C(EPON) Gateway
Actiontec, Actiontec GT784WN
Actiontec, Verizon ADSL Router
BEC Technologies Inc., Broadcom ADSL Router
Best IT World India Pvt. Ltd., 150M Wireless-N ADSL2+ Router
Best IT World India Pvt. Ltd., iB-WRA300N
Billion Electric Co., Ltd., ADSL2+ Firewall Router
Billion Electric Co., Ltd., BiPAC 7800NXL
Billion, BiPAC 7700N
Billion, BiPAC 7700N R2
Binatone Telecommunication, Broadcom LAN Router
Broadcom, ADSL Router
Broadcom, ADSL2+ 11n WiFi CPE
Broadcom, Broadcom Router
Broadcom, Broadcom ADSL Router
Broadcom, D-Link DSL-2640B
Broadcom, D-link ADSL Router
Broadcom, DLink ADSL Router
ClearAccess, Broadcom ADSL Router
Comtrend, AR-5383n
Comtrend, Broadcom ADSL Router
Comtrend, Comtrend single-chip ADSL router
D-Link Corporation., D-Link DSL-2640B
D-Link Corporation., D-Link DSL-2641B
D-Link Corporation., D-Link DSL-2740B
D-Link Corporation., D-Link DSL-2750B
D-Link Corporation., D-LinkDSL-2640B
D-Link Corporation., D-LinkDSL-2641B
D-Link Corporation., D-LinkDSL-2741B
D-Link Corporation., DSL-2640B
D-Link, ADSL 4*FE 11n Router
D-Link, D-Link ADSL Router
D-Link, D-Link DSL-2640U
D-Link, D-Link DSL-2730B
D-Link, D-Link DSL-2730U
D-Link, D-Link DSL-2750B
D-Link, D-Link DSL-2750U
D-Link, D-Link DSL-6751
D-Link, D-Link DSL2750U
D-Link, D-Link Router
D-Link, D-link ADSL Router
D-Link, DVA-G3672B-LTT Networks ADSL Router
DARE, Dare router
DLink, D-Link DSL-2730B
DLink, D-Link VDSL Router
DLink, DLink ADSL Router
DQ Technology, Inc., ADSL2+ 11n WiFi CPE
DQ Technology, Inc., Broadcom ADSL Router
DSL, ADSL Router
DareGlobal, D-Link ADSL Router
Digicom S.p.A., ADSL Wireless Modem/Router
Digicom S.p.A., RAW300C-T03
Dlink, D-Link DSL-225
Eltex, Broadcom ADSL Router
FiberHome, Broadcom ADSL Router
GWD, ChinaTelecom E8C(EPON) Gateway
Genew, Broadcom ADSL Router
INTEX, W150D
INTEX, W300D
INTEX, Wireless N 150 ADSL2+ Modem Router
INTEX, Wireless N 300 ADSL2+ Modem Router
ITI Ltd., ITI Ltd.ADSL2Plus Modem/Router
Inteno, Broadcom ADSL Router
Intercross, Broadcom ADSL Router
IskraTEL, Broadcom ADSL Router
Kasda, Broadcom ADSL Router
Link-One, Modem Roteador Wireless N ADSL2+ 150 Mbps
Linksys, Cisco X1000
Linksys, Cisco X3500
NB, DSL-2740B
NetComm Wireless Limited, NetComm ADSL2+ Wireless Router
NetComm, NetComm ADSL2+ Wireless Router
NetComm, NetComm WiFi Data and VoIP Gateway
OPTICOM, DSLink 279
Opticom, DSLink 485
Orcon, Genius
QTECH, QTECH
Raisecom, Broadcom ADSL Router
Ramptel, 300Mbps ADSL Wireless-N Router
Router, ADSL2+ Router
SCTY, TYKH PON Router
Star-Net, Broadcom ADSL Router
Starbridge Networks, Broadcom ADSL Router
TP-LINK Technologies Co., Ltd, 300Mbps Wireless N ADSL2+ Modem Router
TP-LINK Technologies Co., Ltd, 300Mbps Wireless N USB ADSL2+ Modem Router
TP-LINK, TP-LINK Wireless ADSL2+ Modem Router
TP-LINK, TP-LINK Wireless ADSL2+ Router
Technicolor, CenturyLink TR-064 v4.0
Tenda, Tenda ADSL2+ WIFI MODEM
Tenda, Tenda ADSL2+ WIFI Router
Tenda, Tenda Gateway
Tenda/Imex, ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT
Tenda/Imex, ADSL2+ WIFI-MODEM WITH EVO SUPPORT
UTStarcom Inc., UTStarcom ADSL2+ Modem Router
UTStarcom Inc., UTStarcom ADSL2+ Modem/Wireless Router
UniqueNet Solutions, WLAN N300 ADSL2+ Modem Router
ZTE, Broadcom ADSL Router
ZTE, ONU Router
ZYXEL, ZyXEL VDSL Router
Zhone, Broadcom ADSL Router
Zhone, Zhone Wireless Gateway
Zoom, Zoom Adsl Modem/Router
ZyXEL, CenturyLink UPnP v1.0
ZyXEL, P-660HN-51
ZyXEL, ZyXEL xDSL Router
huaqin, HGU210 v3 Router
iBall Baton, iBall Baton 150M Wireless-N ADSL2+ Router
iiNet Limited, BudiiLite
iiNet, BoB2
iiNet, BoBLite