Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité

**Olivier Famien** · 18/11/2016, 10h28

Attaques DDoS contre Dyn : l’auteur serait un joueur qui cherchait à mettre hors ligne un site de jeu,
selon le rapport de Level 3 Communications

Le 21 octobre dernier, Dyn, le fournisseur américain du service DNS a connu plusieurs vagues d’attaques de déni de service distribué (DDoS). Suite à ces attaques, plusieurs sites importants dont les services sont fournis par Dyn n’étaient pas accessibles à partir de l’est des États-Unis et aussi à partir de l’Europe. Ce sont entre autres sites PayPal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb pour ne citer que ceux-là. Avec son support technique et l’aide de la communauté IT, Dyn a pu contenir les attaques qui avaient pour objectif de noyer entièrement son réseau.

Dès les premières heures après les attaques, Level 3 Communications, l’entreprise américaine spécialisée dans les télécommunications et informations a donné ses analyses en pointant du doigt le malware Mirai qui aurait été utilisé pour contraindre des milliers d’objets connectés mal protégés sur la toile à envoyer des données parasites vers les infrastructures de Dyn. Selon Level 3, ces objets ont délivré environ 500 Go par seconde de trafic vers Dyn. De quoi effectivement faire plier même les infrastructures les plus robustes.

Juste après ces attaques, l’on a eu droit à une revendication d’un groupe de Hackers baptisé New World Hackers et protestant que c’était un « test de puissance » en vue de la préparation d’une attaque d’une plus grande envergure contre la Russie. Bien que la thèse d’un groupe de hackers indépendants semble plausible, les chercheurs en sécurité eux avaient plus les regards tournés vers les entités étatiques notamment la Russie et la Chine. Toutefois, après les conclusions des premières investigations, le directeur du renseignement américain James Clapper a formellement affirmé au cours d’une conférence donnée au centre de recherche Council on Foreign Relations (CFR), que ces attaques ne sont pas l’œuvre de pirates parrainés par un état.

Level 3 qui s’est donné pour objectif d’élucider cette affaire a pris sur elle de mener des recherches afin de savoir qui se cache derrière ce forfait de haut rang. Et il y a quelques heures, l’entreprise a livré les conclusions de son rapport lors d’une conférence donnée par son chef de la sécurité Dale Drew qui a affirmé ceci : « Nous pensons que dans le cas de Dyn, l’attaquant relativement peu sophistiqué a cherché à mettre hors ligne un site de jeu avec lequel il avait une rancune personnelle et loué du temps sur le botnet IoT pour y parvenir ».

À la lumière de cette déclaration, il s’avère donc que l’auteur de ces attaques serait un joueur mécontent qui, en désespoir de cause, aurait tenté de se venger contre un site en inondant le réseau de Dyn avec des données transférées à partir d’appareils connectés. Toutefois, bien que Drew n’ait pas mentionné l’entreprise contre laquelle le joueur dirigeait ses attaques, The Wall Street Journal, en se basant sur des sources proches de l’affaire, a confié que le site en question serait PlayStation Network.

Si les informations sont exactes, cela soulève des inquiétudes en sachant qu’une seule personne a pu occasionner autant de dégâts sur la toile. D’un autre côté, vu que les ressources pour mener de telles attaques sont disponibles à profusion sur le dark web pourvu qu’on y mette le prix, cela n’est donc pas très étonnant. Par contre au-delà de ces faits, ce qui parait étonnant, ce sont les motivations de cette personne qui dans ce cas n’a pas hésité à mettre à mal le réseau de tout un groupe d’entreprises juste pour assouvir une rancœur personnelle contre une seule entreprise. Ce que l’on pourra au moins retenir est que cette affaire met en lumière les problèmes de sécurité liés aux nouveaux périphériques connectés sur la toile.

Source : Forbes, Discours de Dale Drew (PDF)

Et vous ?

Que pensez-vous du rapport de Level 3 incriminant un joueur en colère contre un site ?

Voir aussi

En voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911 qui a failli mettre l'un d'eux hors ligne

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

**Oscar.STEFANINI** · 18/11/2016, 10h48

Pas besoin d'aller sur le Dark Web... le code source est écrit en C et est dispo sur internet (standard)

**SkyZoThreaD** · 18/11/2016, 12h31

Envoyé par Olivier Famien

Que pensez-vous du rapport de Level 3 incriminant un joueur en colère contre un site ?

Que c'est faux

Quand on voit des puissants hackers se faire gauler malgré les précautions qu'ils prennent, je vois mal un noob acheter un exploit 0day sur le darkweb, lancer une attaque massive ayant des conséquences rarement observées et rester insoupçonné pendant des semaines... Reste à savoir pourquoi raconter des telles sottises.

**fenkys** · 18/11/2016, 14h44

Ils n'ont pas parlé de noob, mais de joueur mécontent.
Déjà il a su ou louer le temps de bot et comment. Ce qui n''est pas rien.

**marsupial** · 21/11/2016, 20h03

Dyn racheté par Oracle

**CoderInTheDark** · 21/11/2016, 22h38

Je vous trouve dur avec les joueurs, et peut être aussi un joueur et peut être aussi un hacker ou un informaticien, ce n'est pas incompatible.

Combien joue parmi vous.

Mais j'avoue que c'est histoire est un peu grosse.
Et Ce serait inquiétant que n'importe quelle personne frustré puisse lancer une attack ddos
-Après une défaite sportive
-après une défaite électoral
- après avoir reçu sa feuille d'impôts
....

C'peut être est une nouvelle forme de grève ^^

**Stéphane le calme** · 21/11/2016, 23h57

Oracle s'offre le fournisseur de DNS Dyn,
pour renforcer sa plateforme de cloud computing

Après avoir été le centre de l’attention des médias suite à une attaque du botnet Mirai qui a paralysé l’accès aux sites de ses clients à l’Est des États-Unis (même si certains sites étaient inaccessibles depuis l’Europe), Dyn revient dans l’actualité avec un nouvel accord de rachat qu’il a signé avec Oracle.

« Oracle a annoncé la signature d'un accord pour l'acquisition de Dyn, le principal fournisseur de services et de performances Internet basé sur le cloud, qui surveille, contrôle et optimise les applications Internet et les services cloud pour offrir un accès plus rapide, des temps de chargement de pages réduits et une satisfaction accrue des utilisateurs finaux. La transaction proposée est assujettie aux conditions habituelles de clôture. Jusqu'à ce que la transaction se termine, chaque entreprise continuera à fonctionner de façon indépendante », a déclaré l’entreprise dans un billet de blog.

Comme l’a fait remarquer Thomas Kurian, président du développement de produits chez Oracle, « Oracle propose déjà des solutions IaaS et PaaS pour les entreprises qui créent et gèrent des applications Internet et des services cloud ». Il a ajouté que « le DNS très évolutif et mondial de Dyn est un composant essentiel et une extension naturelle de notre plateforme de cloud computing ».

Aussi, avec cette acquisition, Oracle va intégrer la solution Cloud de Dyn en matière de DNS pour améliorer et étendre son offre Cloud. « Les clients de cloud d'Oracle auront un accès unique aux informations de performance sur internet qui les aideront à optimiser les coûts d'infrastructure, à maximiser les revenus générés par les applications et le site Web et à gérer les risques », a déclaré de son côté Dyn par l’entremise de Kyle York, responsable de la stratégie de l’entreprise.

Dans une lettre de Kurian adressée aux clients et partenaires d'Oracle, l'exécutif s’est bien gardé de faire mention de l'attaque par déni de service dont a été victime Dyn. Oracle s’est contenté de souligner que la plateforme Dyn « surveille, contrôle et optimise les applications internet et les services cloud pour offrir un accès plus rapide, des temps de chargement de page réduits et une plus grande satisfaction des utilisateurs finaux ».

Dyn revendique plus de 3500 entreprises clientes (parmi lesquelles Paypal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb) pour lesquelles sa solution gère quotidiennement 40 milliards de décisions d'optimisation du trafic.

Même si le montant de la transaction n’est pas connu, Dyn va apporter à Oracle son expertise via ses effectifs, sa base de données clients mais aussi ses produits existants.

Source : Oracle, lettre d'acquisition (Oracle)

MikeRowSoft · 22/11/2016, 09h05

Après Microsoft partenaire platinium Linux, maintenant Oracle qui s'offre Dyn.

Je crois que tous se petit monde va bientôt passé dans un duel administratif très passionnant.

**heid** · 22/11/2016, 11h33

Oracle a quand même méchamment raté le virage cloud ...

**TiranusKBX** · 22/11/2016, 17h31

Il y a rien de tel que de racheter une entreprise qui vient de chuter en bourse suite à une mésaventure, n'est-ce pas ?

**Olivier Famien** · 27/11/2016, 17h21

Deux pirates déclarent avoir mis en place un botnet Mirai de 400 000 machines esclaves
qu’ils mettent en location pour mener des attaques DDoS

Depuis la publication du code source de Mirai, les versions de ce malware utilisé pour mener des attaques DDoS ne cessent de progresser sur la toile. Récemment, deux hackers du nom de Popopret et Best buy ont annoncé disposer d’un botnet Mirai de 400 000 machines esclaves qu’ils peuvent utiliser pour mener des attaques par déni de service distribuées (DDoS).

Pour ceux qui n’ont pas suivi l’historique de Mirai, il faut savoir que ce logiciel malveillant a été utilisé pour mener plusieurs attaques de grande envergure. D’abord, il y a eu le site du Brian Krebs, journaliste spécialisé dans la sécurité informatique qui a été pris à partie par une attaque DDoS menée avec Mirai. Le site a été inondé par un trafic parasite de 620 Gbit par seconde.

Après Krebs, ce fut le tour de OVH, l’hébergeur français de sites web qui a également connu une attaque DDoS avec des pics de trafic qui ont atteint 1156 Gb/s. Derrière cette attaque, l’on a encore trouvé les traces de Mirai. Enfin, l’on a les vagues d’attaques qu’a connues Dyn, de fournisseur DNS vers la fin du mois d’octobre.

Ce fournisseur d’adresses IP dynamiques a vu son réseau perturbé au point qu’il fût impossible d’accéder à certains sites (PayPal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb) à partir de l’est des États-Unis avec également des répercussions en Europe. Bien que Dyn n’ait pas pu confirmer le trafic de 1 Tb/s annoncé par certains, l’entreprise a au moins confirmé qu’environ 100 000 appareils connectés ont été impliqués dans ces attaques. Encore une fois, Mirai a été pointé du doigt.

Face à la prolifération des attaques DDoS menées surtout avec ce malware, deux chercheurs en sécurité baptisés 2sec4u et MalwareTech se sont mis à suivre les botnets basés sur Mirai à travers le compte Twitter @MiraiAttacks et le traqueur de botnets MalwareTech. Après avoir collecté un grand nombre d’informations sur les botnets Mirai, ces derniers déclarent que les botnets qu’ils suivent sont relativement de petite taille. Toutefois, il y a un qui est beaucoup plus grand que les autres. Les chercheurs ont confié au site Bleeping Computer, « vous pouvez voir quand ils [les opérateurs de botnet massif] lancent des attaques DDoS parce que le graphique sur mon tracker tombe de plus de la moitié. Ils ont plus de bots que tous les autres botnets Mirai réunis ».

Les informations des deux pirates Popopret et Best Buy pourraient donc être exactes à en croire les déclarations des deux chercheurs. Ces derniers expliquent que techniquement, les premiers botnets Mirai avaient une limite de 200 000 appareils esclaves, car le botnet Mirai d’origine n’était livré qu’avec un support pour lancer des attaques par brute force sur les appareils en ligne via Telnet et avec une liste codée de 60 combinaisons de nom d’utilisateur et de mot de passe. Et quand on se tourne vers le net, on ne référence qu’environ 200 000 appareils connectés à internet qui possèdent des ports Telnet ouverts et utilisent l’une des 60 combinaisons de nom d’utilisateur et mot de passe.

Mais après l’ouverture du code source de Mirai, de nouvelles fonctionnalités auraient été ajoutées au malware d’origine afin de le rendre plus virulent. Et ce serait le cas du botnet Mirai mis en avant par les deux pirates. Nous rappelons en outre que ces deux pirates Popopret et Best buy ne sont pas des novices en la matière. Ces derniers ont été déjà cité comme les auteurs de GovRat, un cheval de Troie utilisé pour espionner les infrastructures gouvernementales, avec comme particularitéla capacité de déjouer la vigilance des outils usuels de sécurité tels que les antivirus.

Bleeping Computer, de son côté, ajoute que deux piratent ont démarré sur la toile une campagne publicitaire pour la location d’un botnet Mirai de 400 000 machines zombies. Dans le mail mis à sa disposition, les deux pirates déclarent ceci :

Nom : Mirai-spam-censored.png
Affichages : 6389
Taille : 47,4 Ko

Location du plus grand botnet Mirai (plus de 400 000 appareils) ;
Nous utilisons des exploits 0day pour nous emparer des appareils — non pas seulement Telnet et scanner SSH ;
Des techniques anti atténuation DDoS pour TCP/UDP ;
Nombre de taches limitées — 2 semaines minimum pour la location ;
Plans et limites flexibles ;
Des courtes démonstrations d’attaques gratuites, si nous avons le temps de le montrer ;

Après avoir reçu le spam, Bleeping est entré en contact avec Popopret un des auteurs du botnet. Ce dernier aurait confié à Bleeping Computer que « le prix est déterminé par la quantité de bots (plus de bots, plus d’argent), la durée de l’attaque (plus = plus d’argent) et le temps de recharge (plus longtemps = réduction) ». De manière pratique, Popopret a fait un petit calcul pour donner une idée du prix pour une attaque. « Le prix de 50 000 bots avec une durée d’attaque de 3600 secondes (1 heure) et de 5 à 10 minutes de temps de recharge est d’environ 3 à 4 000 dollars pour 2 semaines ». Une fois qu’un accord est trouvé entre le client et les auteurs du botnet, le client reçoit une URL Onion du botnet à partir de laquelle il peut se connecter via Telnet et lancer ses attaques.

En plus des capacités d’exploitation des failles zero day notées sur ce botnet pour enrôler plus de machines zombies, 2sec4u et MalwareTech ont confirmé l’existence d’un botnet sur la toile qui utiliserait des techniques de spoofing (usurpation) d’adresses IP pour déjouer les mesures d’atténuation anti DDoS. Sur le compte Twitter @MiraiAttacks, cet immense bot a été référencé comme « Botnet #14 ». Selon les chercheurs, c’est le même botnet Mirai qui a été utilisé pour mener des attaques contre les fournisseurs de service internet du Liberia. Tout porte donc à croire que ces informations sont avérées.

Face à cela, la première question qui vient donc à l’esprit est de savoir ce que les entreprises peuvent faire pour se prémunir contre des attaques menées avec ce type de malware.

Source : Bleeping Computer, Twitter Mirai Attacks, Malware Tech

Et vous ?

Pensez-vous que les déclarations des deux pirates soient fondées ?

Que peuvent faire les entreprises pour s’en prémunir ?

Voir aussi

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

OVH victime de la plus violente attaque DDoS jamais enregistrée ar un botnet de caméras connectées qui n'étaient pas sécurisées

Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

**Malick** · 29/11/2016, 21h43

Une variante du malware Mirai met hors service des routeurs de Deutsche Telekom
environ 900 000 clients de l’opérateur allemand ont été affectés

Une nouvelle version du malware Mirai aurait mis hors service plusieurs routeurs de la société Deutsche Telekom. Selon l'opérateur de téléphonie allemand, la propagation de la nouvelle souche de Mirai aurait occasionné un dysfonctionnement du réseau internet avec près d'un million de clients touchés.

Pour rappel, Mirai est un malware qui infecte les objets connectés afin de lancer des attaques par déni de service (DDoS). En ce qui concerne son mode d'opération, Mirai procède à une analyse continue d'internet à la recherche de systèmes connectés protégés par les identifiants par défaut ou codés en dur. Une fois identifiés, ces dispositifs sont attaqués par le logiciel qui les transforme en bots, favorisant ainsi leur communication avec un serveur de contrôle central qui peut être utilisé comme point de départ pour lancer de puissantes attaques DDoS. Ce sont ces attaques qui vont ensuite paralyser un site.

Johannes Ullrich, un chercheur en sécurité à l'Institut de technologie SANS, affirme que Mirai a été mis à jour pour exploiter une vulnérabilité au sein des routeurs internet de Deutsche Telekom conçus par la société Zyxel. Ullrich affirme que cette nouvelle souche vise en sus une faille dans le SOAP (Simple Object Access Protocol), un service intégré dans les routeurs produits par la société Zyxel. Pour lui, c'est cette nouveauté qui permettrait au malware d'infecter les routeurs.

Le nombre exact d'appareils concernés par cette attaque n'est pas encore connu. Toutefois, selon l'opérateur de téléphonie allemand, la perturbation de son réseau a commencé dans l'après-midi du dimanche dernier. Il précise que 900 000 clients, soit 4,5 % de ses 20 millions d'abonnés, auraient été touchés par des problèmes de connexion.

Dans un courriel, Deutsche Telekom aurait affirmé que « l'attaque a tenté d'infecter les routeurs avec un malware, mais cela s'est soldé par un échec, ce qui a provoqué des accidents ou des restrictions sur 4 à 5 % des routeurs. »

Le chercheur en sécurité Ullrich, dans les conclusions de son analyse, affirme par contre que la nouvelle souche de Mirai a réussi à infecter au moins certains appareils. Pour suivre la propagation du malware, il a établi un serveur Web le lundi conçu pour agir comme un honeypot qui peut attirer l'attaquant.

Ullrich soutient aussi qu'il n'a pas pu identifier d'attaque DDos lancée par le botnet Mirai. Il en conclut que les problèmes de connexion rencontrés par les clients de Deutsche Telekom ont probablement été causés par les appareils qui ont été infectés. Mirai aurait utilisé la puissance des routeurs touchés pour infecter d'autres dispositifs.

Il serait également possible que des routeurs infectés soient actuellement utilisés par d'autres sociétés ou fournisseurs de services internet.

Face à ce problème, Deutsche Telekom a publié un moyen de supprimer l'infection. Une mise à jour logiciel est fournie à tous les clients concernés afin de remédier à l’infection. Ces derniers doivent débrancher les routeurs infectés pendant 30 secondes. Ensuite, ils devront précéder au redémarrage desdits routeurs afin que le patch s’installe automatiquement.

Zyxel, le fabricant des routeurs initialement visés n'a pas encore donné son pont de vue sur la situation.

Source : Reuters - Deutsche Telekom- SANS ISC

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs

**joublie** · 30/11/2016, 02h47

Même s'il y a des sujets plus importants, celui de la cyber sécurité devrait être traité par tous les candidats majeurs de la campagne pour l'éléction présidentielle tant la multiplication des actes de piratage devient inquiétante pour le fonctionnement de l'économie et la confidentialité des données personnelles ou professionnelles. Avec l'extension de l'internet des objets ça va encore empirer... J'ai peut-être manqué des déclarations de certains candidats (ou ex-candidats, déjà éliminés à droite) mais il me semble qu'il ne se dit pas grand-chose là-dessus au plan politique.

**TiranusKBX** · 30/11/2016, 07h22

@joublie si c'est pour encore nous sortir des conneries cela n'est pas la peine !
Le jour ou ils ne feront plus de sensationnalisme mais des "constats" réalistes on en reparleras

**Malick** · 30/11/2016, 17h17

Deutsche Telekom n’est pas la seule victime de la dernière variante de Mirai
le malware aurait attaqué des routeurs dans au moins dix pays

Selon un communiqué de Flashpoint, l'opérateur de téléphonie mobile Deutsche Telekom n'est pas la seule victime de la dernière variante de Mirai. En effet, le malware aurait également attaqué plusieurs routeurs dans au moins une dizaine de pays.

Nom : hacktivism.jpg
Affichages : 5642
Taille : 205,5 Ko

Rappelons que la dernière version de la souche de Mirai a mis hors service de nombreux routeurs de la société Deutsche Telekom. Cette situation a occasionné un important dysfonctionnement du réseau internet avec environ un million de clients touchés. Suite à cet incident, un chercheur en sécurité de l'Institut de technologie SANS a fait savoir que la mise à jour de Mirai a été faite pour exploiter une vulnérabilité dans les routeurs internet de Deutsche Telekom conçus par la société Zyxel. Le chercheur soutient également que la dernière version du malware cherche d'éventuelles failles dans le SOAP (Simple Object Access Protocol) des routeurs. Il s'agit d'un service que la société Zyxel intègre dans les routeurs qu'elle fabrique.

Dans son analyse, le chercheur conclut qu'il est fort probable que des routeurs infectés soient actuellement utilisés par d'autres sociétés ou fournisseurs de services internet. Cette hypothèse vient d'être confirmée par Flashpoint.

Dans son annonce, Flashpoint confirme avec insistance la présence de routeurs infectés dans au moins dix autres pays notamment le Royaume-Uni, le Brésil, la Turquie, l'Iran, le Chili, l'Irlande, la Thaïlande, l'Australie, l'Argentine, l'Italie, en plus de l'Allemagne. Cela, en dépit des rapports initialement émis mentionnant que les infections ne concernent que les routeurs de Deutsche Telekom.

Flashpoint affirme encore avoir établi un lien entre le nouveau Mirai et une attaque par déni de service (DDoS) récemment lancée sur une adresse IP localisée en Afrique. Le nombre d'appareils infectés par cette nouvelle variante de Mirai est actuellement inconnu. Cependant, selon certaines estimations, le nombre de routeurs vulnérables s'élève à environ 5 millions, ce qui, selon Flashpoint, est plus que suffisant pour former un puissant botnet. « Si même une fraction de ces dispositifs vulnérables étaient compromis, ils ajouteraient une puissance considérable à un botnet existant », a déclaré Flashpoint.

Source : FLASHPOINT - SANS ISC

Et vous ?

Qu'en pensez-vous ?

**Stéphane le calme** · 14/03/2017, 21h18

Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité,
tandis que de nombreux zombies sont désactivés, d'autres prennent leur place

Les efforts pour arrêter Mirai, le logiciel malveillant qui crée des réseaux de zombies en infectant des milliers d’appareils connectés (IdO), sont devenus comparables au jeu de la taupe (jeu d'arcade dont le but est de taper à l'aide d'un marteau sur des taupes en plastique qui sortent des trous de la console de jeu). À ce propos, à la question de savoir quelle entité fait plus de progrès que l’autre, notamment les pirates et la communauté des chercheurs en sécurité, les opinions divergent.

Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Fin septembre, sur le forum spécialisé Hackforum, un individu qui s’est présenté comme étant l’utilisateur Anna-sempai a expliqué avoir publié le code source de Mirai en réponse à une surveillance accrue de l’industrie de la sécurité. « Quand je me suis lancé dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps », a commencé Anna-sempai. « J’ai fait de l’argent. Il y a beaucoup d’yeux rivés sur l’internet des objets désormais, alors il est temps de se casser », a-t-il continué.

Depuis lors, Mirai ainsi que ses variantes ont été identifiés dans des attaques à portées différentes comme celles qui ont attaqué des routeurs dans une dizaine de pays, y compris des routeurs de la Deutsche Telekom (opération qui a affecté 900 000 de ses clients). En octobre, l’accès à de nombreux sites populaires américains a été perturbé pendant des heures suite à une attaque de Mirai lancée contre Dyn, un fournisseur américain de service DNS.

Toutefois, le mois dernier, la police a arrêté un potentiel hacker suspecté d’être derrière de multiples attaques lancées par Mirai. En outre, Level 3 Communications, la société américaine spécialisée dans les télécommunications et informations, a déclaré avoir fait une percée dans l’arrêt du malware Mirai. Si des traces du logiciel ont été trouvées sur une fourchette comprise entre 500 000 et 600 000 dispositifs connectés, la plupart d’entre eux ne sont plus sous le contrôle des pirates, a déclaré le chef de la sécurité de niveau 3 Dale Drew. La raison ? Les FAI bloquent l’accès à internet aux serveurs utilisés par les pirates pour contrôler les périphériques infectés par Mirai.

« Nous avions déjà récemment fermé les serveurs de C&C Mirai mensuellement, puis une fois par semaine », a déclaré Drew. « Désormais, nous les fermons toutes les quatre heures ».

Bien que cette opération n’a plus laissé que 97 000 périphériques infectés par Mirai sur Internet qui peuvent être contrôlés par des parties malveillantes, Level 3 a précisé que cela ne signifie pas que le logiciel malveillant n'est plus une menace. En effet, pour agrandir le réseau de zombies, les pirates modifient le code source de Mirai. Lundi, le spécialiste en sécurité Malware Must Die a déclaré avoir découvert des preuves que des pirates informatiques chinois adaptaient Mirai pour infecter un lot de produits IdO, dans ce cas précis auprès d'un fournisseur taiwanais.

« Cela pourrait avoir un impact énorme », a expliqué le spécialiste dans un Tweet. « Les pirates chinois qui utilisaient des logiciels malveillants DDoS Linux commencent à adapter le code source Mirai ».

Les pirates chinois semblent avoir modifié le code pour exploiter une vulnérabilité connue dans les produits d'Avtech, un fabricant de numériscope et de caméras Internet. La nouvelle souche de Mirai profite d'un bogue de script web dans les produits, les incitant à visiter une URL qui télécharge les logiciels malveillants des pirates. D’après Malware Must Die, environ 160 000 appareils sur Internet peuvent être vulnérables à l'attaque. Un chercheur en sécurité a communiqué avec Avtech au sujet du problème. Pour le moment, aucune information n’a filtré quant à la disponibilité d’un correctif.

Source : blog Malware Must Die, la police arrête un suspect

**hotcryx** · 15/03/2017, 15h18

Intéressant

Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.

**nirgal76** · 15/03/2017, 15h50

Envoyé par hotcryx

Intéressant

Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.

Le vrai moyen de le ralentir, ce serait déjà que les gens arrêtent de cliquer sur n'importe quel lien et ne laisse pas les mots de passe par défaut. La faute aussi aux fabricants qui n'obligent pas toujours l'utilisateur à le faire lors de l'installation de leur appareil connecté.

**Stéphane le calme** · 19/05/2018, 19h56

Une variante du botnet Mirai embarque trois exploits pour cibler des appareils IdO vulnérables,
au lieu de passer par force brute comme la version originale

En 2016, le botnet Mirai s’est illustré par la violence des attaques DDoS qu’il a généré en s’appuyant sur la puissance de calcul des objets connectés. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Vers la fin de cette même année, un hacker en a publié le code source et la communauté d’experts en sécurité a estimé que cela pouvait représenter un danger potentiellement plus important.

Progressivement sont apparus des variantes de ce botnet, auxquels les hackers rajoutaient toujours plus de fonctionnalités. D’ailleurs, comme l’explique l’équipe de Fortinet, à ce jour de nombreuses variantes existent, probablement parce que le code a été mis à la disposition de tous.

« Certains ont fait des modifications importantes, comme l'ajout de la capacité de transformer des dispositifs infectés en essaims de proxies de logiciels malveillants et de mineur de cryptomonnaie. D'autres ont intégré le code Mirai avec de multiples exploits ciblant des vulnérabilités connues et inconnues, similaires à une nouvelle variante récemment découverte par FortiGuard Labs, que nous avons baptisé WICKED », avance les chercheurs.

Cette variante de Mirai a ajouté à son arsenal d’attaque au moins trois exploits afin de pouvoir cibler les appareils connectés présentant des failles qui n’ont pas été colmatées.

Nom : wicked_bot.png
Affichages : 4284
Taille : 17,3 Ko

Comme le rappellent les chercheurs, les botnets Mirai contiennent généralement trois modules principaux, notamment Attack, Killer et Scanner. Dans leur analyse, ils se sont concentrés sur le module Scanner qui inclut le mécanisme de diffusion du botnet. Le botnet Mirai d’origine a utilisé des tentatives de force brute traditionnelles pour accéder aux périphériques IdO. Le botnet WICKED, pour sa part, utilise des exploits connus et disponibles, dont beaucoup sont déjà assez anciens.

Les vulnérabilités utilisées par Wicked incluent une injection de commandes Netgear R7000 et R64000 (CVE-2016-6277), une exécution de code à distance CCTV-DVR et un shell Invoker dans des serveurs Web compromis.

Lorsque le botnet réussi à pénétrer dans le système, il va télécharger une charge supplémentaire d’un site Web qui pointe vers Owari, une variante de Mirai. Cependant, durant leur analyse, ils ont noté que les échantillons de bot Owari ne pouvaient plus être trouvés sur le site et qu’à la place Wicked téléchargeait le bot Omni, une autre variante de Mirai. Selon Fortinet, tous ces botnets sont du même auteur.

Les appareils IdO restent des cibles de choix pour les hackers parce qu’ils ont souvent des failles dans leurs sécurité (mot de passe par défaut - l’utilisateur n’est souvent pas obligé de le changer dès l’utilisation -, compte administrateur codé en dur, etc.). Afin d'éviter d'être victime de piratages de leurs objets connectés à internet, les utilisateurs doivent régulièrement télécharger les mises à jour de leurs périphériques lorsque celles-ci sont disponibles. Il faut également veiller à changer les identifiants fournis par défaut dès la première utilisation.

Source : Fortinet

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Perspectives cybercécurité 2018 : Fortinet prévient contre les botnets intelligents, des « swarms » dotés de capacités d'auto-apprentissage

Un développeur, qui a loué un botnet pour payer ses frais de scolarité, parvient à éviter la prison et obtient deux ans de probation

Une nouvelle vague d'attaques de botnets d'IdO plus dévastateurs que Mirai se prépare, d'après des chercheurs qui invitent à prendre des précautions

Des appareils Raspberry Pi détournés par un malware Linux pour le minage de cryptomonnaie, les appareils sont ajoutés à un botnet

Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac, il sert de porte dérobée et dispose de plusieurs modules