Ttint est une toute nouvelle forme de botnet IoT qui inclut aussi quelques fonctionnalités de type outils d’accès à distance (RAT), peu fréquent dans les précédents types de botnets.

Depuis près d’une année, un pirate utilise des failles zero-day pour l’installation de logiciels malveillants sur les routeurs Tendan et crée un botnet IoT (Internet of Things). Baptisé Ttint, ce botnet a été décrit en détails pour la première fois dans un rapport publié par Netlab, la division de sécurité réseau du géant chinois de la technologie Qihoo 360.

Contrairement à Ttint, la myriade de botnets IoT de ce type préalablement repérée dans le passé, différait à plusieurs niveaux selon les chercheurs de Netlab. Le botnet n’a pas uniquement infecté les appareils afin d’effectuer des attaques DDoS, il a aussi utilisé 12 différents moyens d’accès à distance aux routeurs infectés, utilisé les routeurs comme proxys pour relayer le trafic, altéré le pare-feu et les paramètres DNS du routeur, et a même permis aux attaquants d’exécuter des commandes à distance sur les périphériques infectés.

D’après le rapport de l’entreprise, il parait que le botnet ait été déployé l’an dernier, en Novembre 2019, quand Netlab avait déclaré avoir repéré un abus de son premier Tenda zero-day par Ttint pour contrôler les routeurs vulnérables.

L’exploitation de ce zero-day (référencé CVE-2020-10987) s’est poursuivie jusqu’à Juillet 2020, quand un rapport faisait état de la faille et quatre autres ont été publiés par Sanjana Sarda, analyse de sécurité junior chez Independent Security Evaluators.

Aucun correctif de micrologiciel n’a été publié par Tenda, mais les opérateurs de Ttint n’ont pas attendu pour savoir si le fournisseur allait corriger son bug par la suite.

Quelques semaines plus tard, Netlab a déclaré avoir détecté que Ttint abusait d’un second zero-day dans les mêmes routeurs Tenda. Aucun détail sur ce zero-day n’a été publié par Netlab, craignant que d’autres botnets ne commencent aussi à le signaler.

Néanmoins, ceci n’a pas non plus été corrigé, même si les chercheurs de Netlab ont déclaré avoir contacté Tenda pour les informer. Selon Netlab, tout routeur Tenda exécutant une version de firmware entre AC9 et AC18 doit être considéré comme vulnérable.

Etant donné que Ttint a modifié les paramètres DNS sur les routeurs infectés, il est très probable que les utilisateurs soient redirigés vers des sites malveillants, ce qui rend l’utilisation de l’un de ces routeurs non recommandée.