Comment les botnets sont-ils utilisés dans les attaques DDoS ?

Les attaques DDoS, ainsi que les botnets qui leur permettent de se produire, sont l'une des armes les plus puissantes d'Internet. De plus, n'importe qui peut acheter un botnet et faire des ravages en quelques clics. Tout ce dont ils ont besoin pour le faire avec succès, c'est quelques dizaines de dollars et quelques précautions de sécurité.

Par exemple, Mirai, l'un des botnets les plus grands et les plus (très) célèbres de tous les temps, était l'œuvre de trois étudiants qui tentaient de violer les serveurs Minecraft. Cependant, cette attaque de 2016 a fini par devenir la plus importante du genre à ce jour, volant plus de 1 térabit par seconde et infectant plus de 600 000 appareils IoT.

Si vous souhaitez éviter de faire partie d'un botnet ou d'être attaqué par un botnet, une protection et une préparation adéquates sont indispensables. Tout d'abord, vous devez apprendre comment fonctionnent les botnets et les attaques DDoS.

Qu'est-ce qu'un botnet ?

Comme son nom l'indique, un botnet est un réseau de bots, c'est-à-dire d'appareils qui ont été piratés à l'aide d'une sorte de logiciel malveillant. Les pirates les utilisent de plusieurs manières malveillantes - des attaques DDoS et de la génération de clics au vol de données et au spam, mais ils combinent généralement des stratégies d'attaque.

Chaque botnet a trois composants principaux. Pour commencer, rien ne serait possible sans les bot herders, les cerveaux de l'opération.

Ensuite, il y a aussi les serveurs ou dispositifs de commande et de contrôle (C&C) qui permettent à l'éleveur de communiquer avec les bots. Ils le font depuis un endroit éloigné, essayant de leur mieux de cacher leur identité. De plus, il existe plusieurs protocoles de communication parmi lesquels les pirates peuvent choisir - IRC à l'ancienne, TelNet, domaine, peer-to-peer, médias sociaux, etc.

Enfin, un botnet ne serait rien sans son « armée d'ordinateurs zombies ». Tout appareil IoT peut facilement devenir un bot à l'insu ou sans l'approbation des utilisateurs, qu'il s'agisse d'un smartphone ou d'un simple babyphone.

Recommandé pour vous : Attaque DDoS : comment protéger votre site Web contre les attaques DDoS ?

Botnets et attaques DDoS

En ce qui concerne les attaques DDoS, l'objectif principal des botnets est d'amener des quantités massives de trafic vers un serveur et éventuellement de le supprimer. Les temps d'arrêt font perdre aux entreprises un temps et de l'argent précieux. Par conséquent, cela nuit à leur réputation et brise la confiance de milliers et de milliers de leurs clients.

Selon un rapport de 2018 d'International Data Group, le temps d'arrêt moyen par attaque est de 7 à 12 heures, ce qui représente un coût exorbitant de 2,3 à 4 millions de dollars par attaque. La motivation derrière la plupart des attaques de botnet DDoS est soit l'avantage concurrentiel, la rage pure et le vandalisme, soit l'argent (dans le cas des ransomwares).

Avec les attaques DDoS réseau ou de couche 3, les bots inondent le serveur cible de trafic, consomment sa bande passante et le submergent de demandes. Les attaques de la couche 7, ou attaques de la couche application, utilisent la même stratégie. Cependant, leurs principales cibles sont les applications et les systèmes d'exploitation faibles.

Chaque année, les attaques DDoS deviennent plus courantes et plus sophistiquées, ce qui rend les botnets plus difficiles à suivre et à éradiquer que jamais. De plus, n'importe qui peut acheter ou louer un botnet, parfois pour moins de 10 $ de l'heure. Il existe également des kits de botnet à louer, que nous appelons booters/stressers, et ils deviennent de plus en plus populaires.

Moyens de contrôle des botnets

Les deux principaux modèles de contrôle des botnets sont client-serveur et peer-to-peer.

Serveur client

Avant l'avènement des réseaux peer-to-peer, les pirates utilisaient la méthode traditionnelle client-serveur. Ce type de réseau implique l'existence d'un serveur central qui contrôle les ressources et les données. D'autre part, de nouvelles façons plus efficaces de le faire ont vu le jour entre-temps.

D'égal à égal

L'un de ces moyens est le réseau peer-to-peer (P2P). Son principal avantage est qu'il ne dispose pas de serveur centralisé. Au lieu de cela, un réseau de pairs ou de nœuds contrôle toutes les ressources. Ce modèle réduit considérablement le risque d'interruption ou de panne, car il y a toujours des serveurs de secours au cas où l'un d'entre eux serait mis hors service. Ces réseaux P2P sont souvent cryptés, ce qui les rend encore plus difficiles à détecter et à vaincre. La plupart des botnets modernes utilisent ce type de réseau.

Les botnets les plus notoires de l'histoire

Bien que nous ne connaissions pas les chiffres exacts, le nombre et la taille des botnets augmentent depuis un certain temps, les botnets d'aujourd'hui ayant des millions de sbires dans leurs armées. À la lumière de cela, explorons les botnets les plus grands et les plus mémorables qui aient jamais existé.

Vous aimerez peut-être : Top 5 des menaces à la cybersécurité aujourd'hui et au-delà.

Spammeur Earthlink (2000)

Earthlink Spammer a été le tout premier botnet. Il a envoyé des millions d'e-mails malveillants, mais apparemment légitimes, avec l'intention de phishing, c'est-à-dire de voler des données sensibles au destinataire. En cliquant sur le lien de l'e-mail, le virus serait instantanément téléchargé sur leur ordinateur, après quoi il renverrait les informations à l'expéditeur.

Srizbi (2007-2008)

Srizbi était un botnet basé sur un cheval de Troie composé de plus de 450 000 appareils Microsoft infectés. À l'époque, c'était le plus grand botnet jamais créé, dépassant le tristement célèbre botnet Storm.

Srizbi était responsable de la moitié du spam envoyé cette année-là, distribuant plus de 60 billions de menaces chaque jour, y compris des spams faisant la publicité de montres, de stylos et de pilules d'agrandissement du pénis. À un moment donné, Srizbi envoyait même du spam politique, faisant la promotion de la campagne du candidat présidentiel américain Ron Paul, bien qu'on ne sache toujours pas pourquoi aujourd'hui.

Zeus (2007-2014)

ZeuS était un cheval de Troie populaire il y a environ 10 ans, permettant au pirate d'effectuer toutes sortes d'activités criminelles, le plus souvent pour voler des informations bancaires. Avant l'arrestation de suspects liés à ZeuS, il a réussi à infecter plus de 3,6 millions d'appareils et plus de 70 000 comptes sur de nombreux sites Web, tels que Bank of America, la NASA, Amazon, ABC, etc.

Cependant, moins d'une décennie plus tard, ZeuS est réapparu, cette fois sous la forme d'un réseau peer-to-peer crypté appelé GameOver Zeus. Il a été démantelé en 2014, mais son créateur, Evgeny Bogachev, figure toujours sur la liste des personnes les plus recherchées par le FBI.

Émotet (2014-2021)

Emotet n'était pas seulement un botnet, mais aussi une importante opération internationale de cybercriminalité. Comme beaucoup d'autres, il a utilisé un cheval de Troie bancaire, le distribuant via des pièces jointes d'apparence innocente, telles que des documents Microsoft Word.

Cependant, Emotet était bien plus que cela. Il a évolué pour devenir la solution Malware-as-a-Service (MaaS) incontournable pour les groupes cybercriminels de haut niveau, facilitant les opérations de ransomware comme Ryuk. La répression d'Emotet en 2021 est le résultat d'un effort de collaboration entre plus de huit pays, dont l'Allemagne, l'Ukraine, les États-Unis, etc.

Mirai (2016-aujourd'hui)

Bien sûr, aucune liste ne serait complète sans le légendaire botnet et malware Mirai. Avec des millions de bots à leur disposition, c'est le botnet le plus répandu à l'heure actuelle. Il cible principalement les appareils IoT (c'est-à-dire les détecteurs de fumée, les thermostats, les haut-parleurs intelligents et d'autres gadgets), exploitant leurs mots de passe faibles ou inexistants.

Comme nous l'avons mentionné au début, les cerveaux derrière Mirai étaient quelques étudiants qui cherchaient à bousculer Minecraft, mais cela est devenu beaucoup plus. En fait, il était responsable de certaines des attaques DDoS les plus percutantes de l'histoire récente. Par exemple, Mirai était à l'origine de l'attaque de 2016 contre le fournisseur DNS Dyn, qui est la plus grande attaque DDoS jamais enregistrée. En raison de l'attaque, des milliers de sites Web populaires étaient en panne pour la journée, notamment Twitter, Reddit, Netflix et CNN.

Après l'attaque, les créateurs ont intelligemment décidé de publier le code source de Mirai sur GitHub pour cacher leurs identités. Sans surprise, le code a été téléchargé et réutilisé des milliers de fois et dans divers projets de logiciels malveillants. Par conséquent, toute l'étendue de l'impact de Mirai est insondable. Bien que les auteurs aient soi-disant été pris, Mirai continue d'être l'une des plus grandes cybermenaces aujourd'hui.

Comment rester à l'écart des botnets et des attaques DDoS ?

Malheureusement, la plupart des utilisateurs ne savent même pas que leur appareil fait partie d'un botnet vicieux. Les nouvelles technologies ont permis aux pirates d'être aussi discrets et rapides que possible, tout en causant des millions de dollars de dommages aux entreprises en ligne. Les attaques DDoS sont assez difficiles à détecter, et beaucoup d'entre elles passent inaperçues jusqu'à des heures plus tard. Même dans ce cas, il est parfois difficile de différencier une attaque de pirate informatique d'un bogue ou d'un dysfonctionnement.

Si vous remarquez une activité étrange et que vous ne parvenez pas à en déterminer la cause, il est peut-être temps de suspecter une attaque. Par exemple, des clients ou des employés peuvent signaler que votre site Web est lent ou complètement indisponible. De plus, lors de l'analyse des journaux, vous remarquerez peut-être des pics drastiques dans le trafic du site Web. Après avoir soigneusement analysé et éliminé toutes les autres sources potentielles, vous pourrez peut-être le découvrir. Pourtant, à ce moment-là, les heures se seront écoulées et le mal aura déjà été fait.

La meilleure chose à faire est de trouver plusieurs solutions préventives et de toutes les mettre en œuvre. Par exemple, il ne suffit pas d'installer un logiciel anti-malware et de l'arrêter. Vous devriez également envisager de configurer quelques serveurs supplémentaires, d'augmenter la bande passante et d'acheter des outils de premier ordre pour vous aider à surveiller vos ressources et votre activité. Dans l'ensemble, vous devez vous assurer qu'il n'y a pas de points faibles dans le système de sécurité.

Vous pourriez également aimer : Le besoin croissant de cybersécurité : 10 conseils pour rester protégé en ligne.

Dernières pensées

Dans l'ensemble, les botnets ont été et continuent d'être d'énormes menaces pour notre société de plus en plus numérisée. Plus important encore, ils ont joué un rôle crucial dans certaines des attaques DDoS les plus dévastatrices de l'histoire. Étant donné qu'ils ne font que gagner en popularité, vous devez adopter des pratiques de sécurité strictes avant qu'une attaque DDoS ne vous arrive et ne cause des revers majeurs à votre entreprise.

Même si vous êtes très prudent, une attaque DDoS peut toujours vous arriver. Dans ce cas, votre meilleur pari est d'être bien organisé et préparé. L'élaboration préalable d'un plan de réponse complet vous aidera très certainement à atténuer l'attaque du botnet et ses conséquences dans les plus brefs délais.