Un groupe de pirates informatiques cible les composants YARN Hadoop mal configurés pour installer le logiciel malveillant DemonBot DDoS sur des serveurs riches en ressources.
Depuis près d’un mois, un nouveau botnet se développe, profitant de serveurs Apache Hadoop mal sécurisés, et enrôle des bots sur des serveurs vulnérables qui pourront être utilisés pour de futures attaques DDoS.
D’abord repéré à ses balbutiements dans les données d’un honeypot par un chercheur de NewSky Security, le botnet a mûri et s’est développé entre-temps. Alors qu’au départ, le botnet se composait de quelques serveurs de commande et de contrôle Radware explique maintenant que le botnet s’est développé à plus de 70 serveurs dans une alerte publiée aujourd’hui.
Le rôle de ces serveurs est de rechercher sur Internet les installations Hadoop qui utilisent un module YARN mal configuré. YARN, qui signifie Yet Another Resource Negotiator, est un composant central du framework de traitement de données Apache Hadoop, souvent utilisé dans les grands réseaux d’entreprise ou les environnements cloud computing.
Une fois que le botnet trouve une victime potentielle, le botnet tente de profiter d’une mauvaise configuration YARN pour installer un processus “bot” sur le système Hadoop vulnérable. Radware a baptisé le malware DemonBot,
Radware explique que DemonBot s’est considérablement développé au cours du dernier mois, avec actuellement plus d’un million d’attaques sur des composants YARN par jour. “Malheureusement, nous n’avons pas le décompte du nombre de robots[serveurs Hadoop infectés] ” a déclaré Pascal Geenens, évangéliste de la cybersécurité chez Radware, à ZDNet.com “Les bots ne scannent pas et n’exploitent pas, donc ils ne génèrent pas de bruit [trafic] que nous pouvons détecter et cartographier.”
Mais si le nombre total de machines infectées au sein du botnet reste inconnu, un autre mystère majeur reste à résoudre. Pourquoi ce botnet infecte-t-il des serveurs riches en ressources comme Hadoop avec des robots DDoS au lieu de déployer des logiciels malveillants de cryptocurrency-mining ? Cette méthode générerait sans aucun doute beaucoup plus de profits et beaucoup moins de problèmes juridiques que de lancer des attaques DDoS destructives et très visibles.
Tous les signes indiquent que ce botnet est l’œuvre de “Script Kiddies”, un terme utilisé par les experts en cybersécurité pour décrire les auteurs de logiciels malveillants qui déploient des botnets ou des souches de logiciels malveillants en utilisant des scripts facilement disponibles, une mauvaise sécurité opérationnelle ou sans un plan à long terme de ce qu’ils veulent réaliser.
C’est exactement ce qui semble s’être passé, selon Ankit Anubhav de NewSky Security. Ce dernier a tweeté plus tôt ce mois-ci que ce botnet semble avoir des liens avec les créateurs du botnet Sora. Mais ceux-ci sont également responsables de la création de multiples autres botnets, tels qu’Owari, Wicked, Omni, Anarchy, et autres, tous utilisés pour des attaques DDoS.
Quant à la façon dont les serveurs sont infectés, Anubhav et Geenens ont tous les deux pointé du doigt le même problème – une mauvaise configuration de la composante YARN de Hadoop qui est connue depuis au moins deux ans.
Selon le code de la preuve de concept publiée sur ExploitDB et GitHub, les attaquants semblent accéder à une API YARN interne qui a été laissée exposée aux connexions externes. L’exploit utilise l’API pour déployer et exécuter une application YARN personnalisée dans un cluster de serveurs Hadoop – dans le cas de DemonBot, une souche de malware compatible DDoS.
Cet exploit a été très populaire au cours des derniers mois : il a également été utilisé par le malware multifonctionnel Xbash au cours de l’été. “Certaines choses ne sont tout simplement pas destinées à être exposées sur Internet “, a déclaré M. Geenens à ZDNet.
Il va sans dire que les administrateurs de serveurs Hadoop devraient probablement revoir les configurations de YARN dès que possible pour s’assurer qu’ils ne se tirent pas une balle dans le pied.
