Actuellement, la cybersécurité est un levier important de développement. Les systèmes réseaux et ressources en informatique nécessitent constamment des mises à jour. Cela permet d’améliorer l'usage d'Internet et de sécuriser des données confidentielles. Les utilisateurs sont davantage exposés aux actions malveillantes des logiciels. Fodcha, le dernier sur la liste, fait de plus en plus de victimes.
Les serveurs, les DVR ainsi que les routeurs des usagers en ligne ne sont plus à l’abri des cyberattaques. On peut par exemple citer celles du botnet Fodcha. Les particuliers et les professionnels sont constamment ciblés par ce dernier en évolution rapide qui les piège. Plus d’une centaine de victimes subissent des attaques par déni de service distribué (DDoS) quotidiennement.
Face à cette menace découverte dernièrement, Devenir consultant en cybersécurité peut être un choix de carrière judicieux. Les attaques informatiques internationales favorisent de plus en plus l’intervention des spécialistes en cybersécurité , et offrent des opportunités de carrière.
Le botnet Fodcha est une menace sérieuse pour les internautes
Les botnets viennent agrandir la liste des logiciels informatiques malveillants connus. Un lien de cause à effet entre CNCERT et 360 netlab a permis de mettre récemment à jour l’activité surélevée du botnet Fodcha. Pour preuve, plus de 62 000 IP ont été compromis entre le 29 mars et le 10 avril 2022 . Sur cette même période, environ 10 000 bots actifs ont été recensés au quotidien. Provenant de la Chine, les canaux exploités par ce botnet pour mener les attaques informatiques sont principalement :
- Les réseaux de China Telecom (39,4 %) ;
- China Unicom (59, 9 %).
Le réseau China Mobile, quant à lui, est très peu utilisé (0,5 %).
La date du 1er mars 2022 a été le point culminant des attaques DDoS. Cela, avec plus de 130 000 cyberattaques recensées.
La vulnérabilité des n-day en cause
Le botnet Fodcha réussit à s’accroître particulièrement à cause de la précarité des n-day . Les mots de passe Telnet/SSH faibles sont particulièrement visés . Il en est de même pour les codes ayant subi des rectificatifs en développement non appliqués et inexploités par les hackers. 360 netlab déduit que :
Nous avons observé qu'un outil de craquage par force brute que nous avons nommé Crazyfia apparaît sur le même serveur de téléchargement de Fodcha. Les résultats de l'analyse de cet outil seront utilisés par l'auteur de Fodcha pour installer des échantillons de Fodcha sur les appareils vulnérables.
botnet Fodcha
Divers points de contrôle pour le Fodcha
La multiplicité des systèmes électriques et des architectures processeurs (x86, ARM, MPSL, MIPS , ...) sont autant de points d’attaque du botnet Fodcha. Ci-suit, une liste non exhaustive des principales vulnérabilités :
- ZHONE Router Web RCE (ZHONE Router) ;
- LILIN DVR RCE (LILIN DVR) ;
- TOTOLINK Routers (TOTOLINK Routers Backdoor) ;
- JAWS Webserver unauthenticated shell command execution (MVPower DVR) ;
- CVE-2021-35394 (interface de gestion serveur web Realtek Jungle SDK) ;
- CVE-2021-22205 (répertoires et projets GitLab) ;
- ADB Debug Server RCE (terminaux Android).
Les indicateurs ont recueilli une information cruciale. Entre le 18 et 20 mars, l’hacker a été obligé de transférer ses serveurs contrôle et de commande. Et ce, sur un autre support. Leur fournisseur Cloud a cessé toute collaboration sur la maintenance des serveurs C2 pour la v1. Ils ont contraint les opérateurs de Fodcha de passer à la v2 tout en mettant à jour leur serveur C2.
La nouvelle configuration du C2 est mappée sur environ 12 adresses IP. Ces dernières sont exploitées dans plusieurs pays comme la Corée, le Japon, les États-Unis et l'Inde. En conséquence, plusieurs fournisseurs de Cloud sont impliqués dans la chaîne d’exploitation tels que DediPath, Amazon, DigitalOcean ou encore Linode.