Une récente forme de malware cible les serveurs Linux ainsi que les périphériques IoT et les ajoute à un botnet dans ce qui parait être la première procédure d’une campagne de piratage ciblant l’infrastructure informatique en Cloud, bien que le but des attaques soit encore flou. Ce malware baptisé Gitpaste-12 a été découvert par les chercheurs en cybersécurité de Juniper Threat Labs. Il a été nommé ainsi en référence à la façon dont il emploie GitHub et Pastebin afin d’héberger le code des composants. Ce malware dispose de 12 divers modes permettant de compromettre les serveurs x86 basés sur Linux, ainsi que les dispositifs IoT basés sur Linux ARM et MIPS.

Il s’agit de 11 failles connues identifiées sur des routeurs Asus, Huawei et Netink, ainsi que les routeurs MongoDB et Apache Struts. Celles-ci permettent aux pirates de compromettre les systèmes en effectuant des attaques par force brute pour craquer les noms d’utilisateur et les mots de passe par défaut ou courants. Suite à l’utilisation de l’une de ces failles pour compromettre le système, le malware Gitpaste-12 télécharge des scripts de Pastebin pour fournir des commandes avant de télécharger aussi d’autres instructions d’un dépositaire GitHub. Le but de ce logiciel malveillant est de désactiver les défenses, notamment les pare-feu et les logiciels de surveillance qui, réagiraient aux activités malveillantes.

Les commandes de Gitpaste-12 permettent de désactiver les services de sécurité dans le cloud des principaux fournisseurs d’infrastructures chinois, comme Alibaba Cloud et Tencent, indiquant que le botnet pourrait être la première étape d’une large opération en plusieurs étapes dirigée par des pirates. Le botnet a aussi la capacité d’utiliser des machines compromises pour infecter d’autre appareils vulnérables sur le même réseau ou sur des réseaux connectés afin de diffuser le malware. Le dépôt de GitHub et l’URL de Pastebin utilisés ont tous deux été fermés après que les chercheurs l’aient signalé. Toutefois, Gitpaste-12 semble toujours en cours de développement et risque, de ce fait, de revenir. Afin de se protéger de Gitpaste-12, il est recommandé d’appliquer les correctifs de sécurité permettant de corriger les vulnérabilités exploitées et de s’assurer que les mots de passe par défaut sur les dispositifs IoT sont changés.