Généralement, lorsqu'on parle de botnet, on désigne une menace qui cible les machines sous Windows. Une fois n'est pas coutume : XOR DDoS cible quant à lui les machines sous Linux, à travers un cheval de Troie éponyme.
XOR DDoS n'est pas vraiment nouveau, puisqu'il avait été découvert fin 2014. Mais les chercheurs d'Akamai ont mis la main sur une nouvelle variante, capable de piloter des attaques par déni de service (DDoS) générant un trafic de données pouvant dépasser les 150 Gbits par seconde. Pour mémoire, une attaque DDoS bombarde des serveurs ciblés de requêtes dans le but de les mettre hors service. Les requêtes sont envoyées massivement par des machines infectées, dont les utilisateurs participent généralement à leur insu à l'attaque.
Si l'on est loin de l'attaque par réflexion NTP qui avait atteint les 400 Gbits par second en 2014, une attaque dépassant les 150 gigabits de données par seconde peut être considérée comme très puissante.
Une faille dans les services SSH
Le botnet XOR DDoS exploite des vulnérabilités dans les services Secure Shell (SSH) dont les mots de passe, s'ils sont trop faibles, sont des cibles de choix pour des attaques par force brute. La faille ne se situe donc pas directement dans le noyau Linux, mais elle permet néanmoins à l'attaquant d'accéder à une élévation des privilèges lui permettant d'infecter la machine avec le logiciel malveillant. Akamai propose de télécharger un livre blanc sur son site pour prendre des mesures à l'encontre du botnet.On note enfin que les cibles du réseau de machines zombies XOR DDoS se trouvent principalement en Asie et dans les domaines du gaming et de l'éducation. Jusqu'à 20 cibles sont ciblées quotidiennement, soulignent les experts en sécurité.
