Un pirate plutôt motivé a entrepris de déployer massivement un botnet maison a des fins purement analytiques. De prime abord, on peine à y croire et on pense tout de suite à une opération globale d’infection visant à se créer un bon petit stock de pcs zombies! Mais si on en croit son auteur, il n’en est rien et c’est ce que nous allons voir par la suite.
Pour effectuer son « Internet Census 2012 » (comprenez: « Recensement d’Internet 2012 »), il n’a utilisé que les informations de login par défaut mises en place sur les serveurs attaqués, comme root:root ou admin:admin… donc rien de bien sorcier, il a simplement utilisé des failles déjà présentes! Son botnet est très léger, (entre 46Ko et 60Ko suivant l’architecture du processeur), donc simple et rapide à diffuser. Il a fait en sorte que celui-ci s’exécute sur la priorité la plus basse possible, qu’il ne cause aucun dommage à la machine hôte et qu’il soit supprimé automatiquement au redémarrage de la machine, bel effort!
C’est l’utilitaire nmap qui a été utilisé pour recenser ces machines. Il a donc enregistré l’ensemble des adresses IP qui ont répondu aux quelques 52 milliards de ping envoyés entre Juin et Octobre 2012, pour un total de 420 millions de périphériques répondants, se créant ainsi une formidable base de données de plus de 9 TB compressée à 568 GB (excusez du peu) et téléchargeable sur son site.
Voici une carte mondiale montrant ces millions de machines mal sécurisées (plus d’images et d’animations ICI):
Ce pentest de grande envergure a aussi un but éducatif, puisqu’un README est laissé sur les machines infectées expliquant le but de son projet et fournissant une adresse e-mail pour joindre son auteur. Comme quoi les failles ne sont pas toujours utilisées à mauvais escient…