Les cybercriminels ont discrètement compromis plus de 14 000 appareils dans le monde, les utilisant pour créer un nouveau type de cyber-arme contre laquelle il est exceptionnellement difficile de se défendre. L’opération, détaillée dans un récent rapport de la société de sécurité Lumen, s’appuie sur un réseau décentralisé de routeurs infectés (principalement des modèles Asus) pour acheminer le trafic malveillant et échapper à la détection.
Comment fonctionne le botnet
Le malware, baptisé « KadNap », fonctionne via un système peer-to-peer. Cela signifie qu’il n’y a pas de serveur central à arrêter, ce qui rend le botnet très résilient. Les attaquants détournent les appareils connectés à Internet (routeurs, appareils intelligents, etc.) et les relient entre eux pour lancer des attaques par déni de service distribué (DDoS). Ces attaques submergent les sites Web et les services en ligne de trafic, les mettant ainsi hors ligne.
Le principal avantage de KadNap est sa capacité à s’intégrer. En acheminant le trafic via des routeurs domestiques ordinaires, les attaquants contournent les filtres de sécurité conventionnels. Pour l’utilisateur moyen, le seul signe d’infection peut être une vitesse Internet légèrement plus lente.
Portée et impact mondiaux
La majorité des appareils infectés se trouvent aux États-Unis, mais KadNap s’est également propagé au Royaume-Uni, en Australie, au Brésil, en Russie et dans toute l’Europe. Le rapport met en évidence une tendance croissante : à mesure que de plus en plus d’appareils se connectent à l’Internet des objets (IoT), les opportunités d’exploitation augmentent.
Les acteurs malveillants créent désormais des botnets à grande échelle spécifiquement pour détourner ces appareils vulnérables. Le rapport de Lumen souligne ce danger : « Alors que la société moderne s’appuie de plus en plus sur des appareils Internet des objets (IoT) exposés à Internet, les opportunités permettant aux acteurs malveillants d’exploiter les vulnérabilités continuent d’abonder. »
La connexion Doppelganger
Les robots KadNap sont vendus via un service appelé Doppelganger, qui permet aux utilisateurs d’exploiter les appareils piratés pour diverses activités malveillantes. Il s’agit notamment d’attaques par force brute et de campagnes d’exploitation très ciblées. Chaque adresse IP associée à ce botnet représente un risque important et persistant pour les organisations et les individus.
« Leur intention est claire : éviter d’être détectés et rendre difficile la protection des défenseurs », conclut Lumen.
Ce type de cybercriminalité témoigne d’une évolution vers des méthodes plus sophistiquées et introuvables. Les mesures de sécurité traditionnelles sont de moins en moins efficaces contre les botnets décentralisés qui exploitent les appareils du quotidien. La montée en puissance de KadNap souligne le besoin urgent de pratiques de cybersécurité plus solides et d’une détection proactive des menaces.
