Qu’est-ce qu’un botnet ?

À quoi servent les botnets ?

Les botnets sont utilisés dans divers types d’attaques qui tirent profit, d’une certaine manière, de l’utilisation d’un grand nombre de terminaux contrôlés à distance. Voici quelques exemples d’attaques de botnets courantes :

• Déni de service distribué : lors d’une attaque DDoS, les hackers envoient simultanément du trafic depuis de nombreux appareils afin de saturer les capacités de traitement ou la bande passante des serveurs ou de l’infrastructure ciblés et d’empêcher la fourniture normale des services.
• Phishing et autres fraudes par e-mail : les botnets peuvent envoyer de larges volumes de spam ou de messages de phishing depuis différents comptes et adresses IP dans le cadre de tentatives d’usurpation d’identité, d’escroqueries financières, de campagnes de malware, etc.
• Extraction de cryptomonnaie : en utilisant la puissance de traitement collective d’un botnet en conjonction avec un malware de cryptomining, un hacker peut extraire des cryptomonnaies à l’insu et sans le consentement des propriétaires des appareils (ce que l’on appelle le cryptojacking).
• Attaques par force brute : les botnets peuvent effectuer très rapidement une succession de tentatives de connexion pour accéder aux comptes en ligne des victimes, ou utiliser les informations d’identification exposées lors de fuites pour tenter rapidement des attaques de credential stuffing sur plusieurs sites web à la fois.
• Obfuscation par proxy : les hackers peuvent transformer les appareils du botnet en proxys directs afin de rediriger le trafic malveillant tout en masquant leur identité et leur localisation. Ils peuvent même vendre l’accès au proxy à d’autres hackers via le dark web.
• Chevaux de Troie, enregistrement de frappe et reniflage de paquets : les hackers peuvent utiliser des malwares de botnet pour surveiller et enregistrer les données que le bot envoie et reçoit, ainsi que pour capturer les informations que les utilisateurs saisissent sur leurs appareils, notamment leurs identifiants de connexion.

Comment fonctionnent les botnets ?

Les botnets commencent par un malware de botnet, distribué comme d’autres types de malwares via des méthodes telles que les e-mails de phishing ou l’exploitation de vulnérabilités, qui transforme les appareils infectés en « bots ». Ces bots communiquent ensuite avec un serveur central contrôlé par un hacker, appelé serveur de commande et contrôle (C2 ou C&C), dont le hacker se sert pour donner des instructions aux bots.

Outre le fait de donner aux bots l’ordre d’exécuter diverses attaques, le serveur C2 peut publier des mises à jour du malware afin d’améliorer ou de modifier les fonctions et les capacités du botnet, ce qui le rend plus difficile à détecter et à contrer. De plus, un seul botnet peut être constitué de centaines, voire de milliers d’appareils distribués à grande échelle, dont les propriétaires peuvent totalement ignorer qu’ils font partie d’un botnet.

Comment les botnets échappent-ils à la détection ?

Les malwares de botnet sont conçus pour passer inaperçus en opérant de manière furtive en arrière-plan à l’aide de techniques avancées telles que l’utilisation de code polymorphe, d’algorithmes de génération de domaines (Domain generation algorithms, DGA) et du chiffrement. Ces méthodes permettent au malware de modifier son apparence et d’altérer ou de masquer ses voies de communication, rendant ainsi difficile la détection, l’interception ou l’analyse du trafic malveillant lié aux opérations du botnet par les mesures de cybersécurité classiques, telles que les antivirus basés sur les signatures ou le matériel de sécurité réseau traditionnel.

Comment les botnets sont-ils contrôlés ?

Les opérateurs de botnet (parfois appelés « bot herders ») peuvent contrôler les appareils bot essentiellement de deux manières :

• Contrôle centralisé, dans le cadre duquel le serveur C2 envoie des instructions à chaque bot, qui ne communiquent pas directement entre eux
• Contrôle décentralisé ou peer-to-peer, dans le cadre duquel le serveur C2 envoie des instructions à un seul bot, qui à son tour communique avec les autres bots

Les botnets centralisés sont plus faciles à configurer que les botnets P2P, mais ils sont également plus faciles à désactiver, car les traqueurs de menaces peuvent simplement localiser et désactiver le serveur central. À l’inverse, les botnets P2P impliquent des frais généraux considérablement plus élevés, mais sont plus difficiles à désactiver, car il est beaucoup plus ardu de localiser le serveur C2 parmi tous les appareils qui communiquent entre eux.

Quels types d’appareils peuvent être affectés ?

Pratiquement n’importe quel appareil connecté à Internet peut faire partie d’un botnet, pour peu qu’un hacker puisse y exécuter un malware. Ces appareils incluent :

• Les ordinateurs, smartphones et autres appareils mobiles exécutant les systèmes d’exploitation courants
• Les serveurs, routeurs et autres matériels réseau qui peuvent faciliter la propagation des attaques
• Les appareils connectés à l’Internet des objets (IoT) et les technologies opérationnelles (OT), qui sont souvent dépourvus d’une sécurité robuste et, dans le cas des systèmes OT traditionnellement « isolés », n’ont pas été conçus pour l’hyperconnectivité. En exploitant les vulnérabilités des dispositifs IoT, les hackers peuvent assembler d’énormes botnets capables de lancer de puissantes attaques DDoS.

Exemples d’attaques de botnet

L’utilisation des botnets reste très répandue dans les cyberattaques à grande échelle en raison de la difficulté à les neutraliser définitivement. Voici un aperçu de certains botnets très médiatisés qui ont été actifs au cours des dernières années :

1. Mirai utilise des techniques de force brute et d’exécution de code à distance pour infecter les dispositifs IoT avec des malwares de botnet. L’une des familles de malwares ciblant l’IoT les plus prolifiques depuis des années, Mirai a lancé en 2016 l’attaque DDoS la plus massive de l’histoire.
2. Gafgyt et ses variantes infectent les systèmes Linux pour lancer des attaques DDoS, et ont infecté des millions de dispositifs IoT depuis 2014. Les botnets affiliés à Gafgyt ont été responsables d’attaques DDoS d’une intensité pouvant atteindre 400 Gbit/s.
3. BotenaGo utilise certaines des mêmes techniques que Mirai, notamment l’authentification par force brute, pour infecter les routeurs et les dispositifs IoT. Écrit en langage open source Go et disponible sur GitHub, tout hacker potentiel peut le modifier ou le diffuser.
4. Mozi, découvert en 2019, exploite principalement les appareils IoT dont les identifiants de connexion sont faibles ou définis par défaut et les infecte avec un malware de botnet. Mozi était responsable de plus de 5 % des malwares ciblant l’IoT au premier semestre 2023.
5. VPNFilter cible les routeurs et les périphériques de stockage, en particulier les appareils ICS/SCADA. Présumé être le fruit du groupe de cyberespionnage russe Fancy Bear, il peut exfiltrer des données, bloquer des appareils et persister malgré les redémarrages des routeurs.

Comment protéger votre entreprise contre les botnets

Grâce à leur vaste portée mondiale, leurs tactiques de contournement avancées et leurs communications chiffrées, les attaques par botnet constituent une menace omniprésente et accessible, d’autant plus que les variantes open source prolifèrent et que le nombre de cibles vulnérables ne cesse d’augmenter. Pour assurer la sécurité des appareils de votre entreprise, votre sécurité doit être capable de détecter et d’atténuer systématiquement l’activité des botnets.

Zscaler Internet Access™ (ZIA™) est une solution SSE (Security Service Edge) cloud native. Proposée sous forme de plateforme SaaS évolutive via le plus grand cloud de sécurité au monde, elle remplace les solutions de sécurité réseau traditionnelles et prévient les attaques avancées et la perte de données avec une approche Zero Trust complète. ZIA vous permet de détecter l’activité des botnets et du C2 et de bloquer efficacement les botnets grâce aux caractéristiques suivantes :

• Système de prévention des intrusions (Intrusion Prevention System, IPS) : bénéficiez d’une protection complète contre les botnets, les menaces avancées et zero day, ainsi que de renseignements contextuels sur les utilisateurs, les applications et les menaces.
• Protection contre les menaces avancées (Advanced Threat Protection, ATP) : exploitez la protection intégrée contre les botnets, le trafic de commande et contrôle, le partage P2P risqué, le contenu actif malveillant, les scripts intersites, les sites frauduleux, etc.

Zscaler Zero Trust SD-WAN négocie en toute sécurité le trafic de vos dispositifs IoT depuis les sites distants vers les applications privées et Internet via Zscaler Zero Trust Exchange™, qui limite le déplacement latéral des malwares basés sur l’IoT et contrôle les communications avec les serveurs C2.

Zscaler IoT Device Visibility fournit une visibilité complète sur tous les dispositifs IoT, serveurs et appareils utilisateur non gérés dans votre entreprise, sans nécessiter d’agents sur les terminaux.