Un nouveau botnet DDoS s’attaque aux serveurs d’entreprise Hadoop

Haythem Elmir
0 1
Read Time3 Minute, 20 Second

Un groupe de pirates informatiques cible les composants YARN Hadoop mal configurés pour installer le logiciel malveillant DemonBot DDoS sur des serveurs riches en ressources.

Depuis près d’un mois, un nouveau botnet se développe, profitant de serveurs Apache Hadoop mal sécurisés, et enrôle des bots sur des serveurs vulnérables qui pourront être utilisés pour de futures attaques DDoS.

D’abord repéré à ses balbutiements dans les données d’un honeypot par un chercheur de NewSky Security, le botnet a mûri et s’est développé entre-temps. Alors qu’au départ, le botnet se composait de quelques serveurs de commande et de contrôle Radware explique maintenant que le botnet s’est développé à plus de 70 serveurs dans une alerte publiée aujourd’hui.

Le rôle de ces serveurs est de rechercher sur Internet les installations Hadoop qui utilisent un module YARN mal configuré. YARN, qui signifie Yet Another Resource Negotiator, est un composant central du framework de traitement de données Apache Hadoop, souvent utilisé dans les grands réseaux d’entreprise ou les environnements cloud computing.

Une fois que le botnet trouve une victime potentielle, le botnet tente de profiter d’une mauvaise configuration YARN pour installer un processus « bot » sur le système Hadoop vulnérable. Radware a baptisé le malware DemonBot,

Radware explique que DemonBot s’est considérablement développé au cours du dernier mois, avec actuellement plus d’un million d’attaques sur des composants YARN par jour. « Malheureusement, nous n’avons pas le décompte du nombre de robots[serveurs Hadoop infectés]  » a déclaré Pascal Geenens, évangéliste de la cybersécurité chez Radware, à ZDNet.com « Les bots ne scannent pas et n’exploitent pas, donc ils ne génèrent pas de bruit [trafic] que nous pouvons détecter et cartographier. »

Crédit : Radware 

Mais si le nombre total de machines infectées au sein du botnet reste inconnu, un autre mystère majeur reste à résoudre. Pourquoi ce botnet infecte-t-il des serveurs riches en ressources comme Hadoop avec des robots DDoS au lieu de déployer des logiciels malveillants de cryptocurrency-mining ? Cette méthode générerait sans aucun doute beaucoup plus de profits et beaucoup moins de problèmes juridiques que de lancer des attaques DDoS destructives et très visibles.

Tous les signes indiquent que ce botnet est l’œuvre de « Script Kiddies », un terme utilisé par les experts en cybersécurité pour décrire les auteurs de logiciels malveillants qui déploient des botnets ou des souches de logiciels malveillants en utilisant des scripts facilement disponibles, une mauvaise sécurité opérationnelle ou sans un plan à long terme de ce qu’ils veulent réaliser.

C’est exactement ce qui semble s’être passé, selon Ankit Anubhav de NewSky Security. Ce dernier a tweeté plus tôt ce mois-ci que ce botnet semble avoir des liens avec les créateurs du botnet Sora. Mais ceux-ci sont également responsables de la création de multiples autres botnets, tels qu’Owari, Wicked, Omni, Anarchy, et autres, tous utilisés pour des attaques DDoS.

Quant à la façon dont les serveurs sont infectés, Anubhav et Geenens ont tous les deux pointé du doigt le même problème – une mauvaise configuration de la composante YARN de Hadoop qui est connue depuis au moins deux ans.

Selon le code de la preuve de concept publiée sur ExploitDB et GitHub, les attaquants semblent accéder à une API YARN interne qui a été laissée exposée aux connexions externes. L’exploit utilise l’API pour déployer et exécuter une application YARN personnalisée dans un cluster de serveurs Hadoop – dans le cas de DemonBot, une souche de malware compatible DDoS.

Cet exploit a été très populaire au cours des derniers mois : il a également été utilisé par le malware multifonctionnel Xbash au cours de l’été. « Certaines choses ne sont tout simplement pas destinées à être exposées sur Internet « , a déclaré M. Geenens à ZDNet.

Il va sans dire que les administrateurs de serveurs Hadoop devraient probablement revoir les configurations de YARN dès que possible pour s’assurer qu’ils ne se tirent pas une balle dans le pied.

Pour en savoir plus :

https://www.zdnet.fr/actualites/un-nouveau-botnet-ddos-s-attaque-aux-serveurs-d-entreprise-hadoop-39875663.htm

Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
100 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Signal Secure Messaging App Now Encrypts Sender's Identity As Well

Signal, the popular end-to-end encrypted messaging app, is planning to roll out a new feature that aims to hide the sender’s identity from potential attackers trying to intercept the communication. Although messages send via secure messaging services, like Signal, WhatsApp, and Telegram, are fully end-to-end encrypted as they transmit across their servers, each […]