Il n'y a pas que les ransomwares dans la vie, il y a les botnets aussi. Une découverte commune entre CNCERT et 360netlab a levé le voile sur le botnet Fodcha dont l'activité a explosé ces derniers jours. Du 29 mars au 10 avril 2022, le nombre d'IP compromis a dépassé 62 000 pour un nombre moyen de bots actifs par jour qui dépasse les 10 000. D'après l'étude, plus de 100 victimes subissent chaque jour des attaques par déni de service depuis Fodcha. Originaire de Chine, ce botnet emprunte les réseaux de China Unicom (59,9%) et China Telecom (39,4%), celui de China Mobile ayant été que très peu employé (0,5%). A noté que le volume d'attaques DDoS a atteint un pic le 1er mars dernier avec plus de 130 000 commandes malveillantes enregistrées.

Fodcha se propage principalement via les vulnérabilités n-day - c'est à dire pour lesquelles des correctifs ont été développés qui ne sont pas encore appliqués mais que les pirates n'ont pas encore exploitées - et les mots de passe Telnet/SSH faibles. « Nous avons observé qu'un outil de craquage par force brute que nous avons nommé Crazyfia apparaît sur le même serveur de téléchargement de Fodcha. Les résultats de l'analyse de cet outil seront utilisés par l'auteur de Fodcha pour installer des échantillons de Fodcha sur les appareils vulnérables », explique 360netlab. 

Une infrastructure de commande et de contrôle redondée

Le botnet Fodcha s'attaque à des systèmes variés dont les architectures processeurs sont également éclectiques : MIPS, MPSL, ARM, x86... La liste des principales vulnérabilités inclus ADB Debug Server RCE (terminaux Android), CVE-2021-22205 (répertoires et projets GitLab), CVE-2021-35394 (interface de gestion serveur web Realtek Jungle SDK), JAWS Webserver unauthenticated shell command execution (MVPower DVR), LILIN DVR RCE (LILIN DVR), TOTOLINK Routers Backdoor (TOTOLINK Routers) et ZHONE Router Web RCE (ZHONE Router).

A noter, d'après les indicateurs de l'étude, que l'opérateur malveillant derrière ce botnet a été contraint de basculer ses serveurs de commande et de contrôle sur une autre plateforme entre les 18 et 20 mars derniers : « Le passage de la v1 à la v2 est dû au fait que les serveurs C2 correspondant à la version v1 ont été arrêtés par leur fournisseur cloud, les opérateurs de Fodcha n'ont donc eu d'autre choix que de relancer la v2 et de mettre à jour C2. Le nouveau C2 est mappé sur plus d'une douzaine d'adresses IP et est distribué dans plusieurs pays, dont les États-Unis, la Corée, le Japon et l'Inde, il implique davantage de fournisseurs de cloud tels qu'Amazon, DediPath, DigitalOcean, Linode et bien d'autres », explique 360netlab.