Pour observer le comportement de botnets IoT tels que Mirai, McAfee a mis en place un honeypot, ou leurre, imitant les caractéristiques d’appareil IoT vulnérable. Les chercheurs ont constaté une tentative de connexion au honeypot McAfee presque toutes les 2 à 3 minutes. Dans certains cas, les tentatives visaient seulement à obtenir l’accès à l’appareil. Dans d’autres cas, les tentatives de connexion avaient pour objectif d’installer des logiciels malveillants et d’intégrer l’appareil au botnet. Les analyses montrent que les attaquants ne prenaient que quelques minutes, voire quelques secondes à établir une connexion et exécuter une série de commandes pour tenter d’infecter l’appareil IoT.

Parmi les principales conclusions du rapport, relatives à l’IoT :

Les criminels continument d’attaquer les terminaux IoT avec des combinaisons nom d’utilisateur/mot de passe par défaut, utilisées par les modèles les plus populaires de caméras IP, dispositifs de surveillance numérique, et routeurs.

Les chercheurs de McAfee ont découvert deux nouvelles vulnérabilités dans des dispositifs connectés qui permettent aux hackers l’accès à la vie privée des utilisateurs à travers des failles dans les serrures intelligentes et les machines à café équipées de système WeMo.

Plusieurs rapports ont été publiés au cours de trimestre sur diverses attaques ayant profité de cette faille pour infecter des dispositifs IoT et y installer des mineurs de crypto-monnaies, des portes dérobées, et des malwares Windows.

La faille réside dans NoneCmsV1.3.thinkphp/library/thin/App.php et dans la gestion des paramètres de filtres personnalisés.

Les logiciels malveillants qui infectent des terminaux comprennent des variantes du botnet Mirai, le récolteur d’identifiants Mimikatz, et une backdoor Linux connu sous le nom de SpeakUp.