Discussion :

[Patrick Ruiz]

Le malware Hajime est capable de sécuriser des objets connectés visés par le malware Mirai
Mais pourrait également servir à des desseins funestes

Depuis octobre 2016, période où des chercheurs ont découvert le malware Hajime, on assiste à ce que l’on pourrait qualifier de bataille entre malwares. Des objets connectés, potentielles cibles du malware Mirai, sont immunisés contre ce dernier par le malware Hajime. Les développements de la firme de sécurité Symantec à ce sujet font état de ce qu’en 6 mois, le malware Hajime s’est rapidement propagé. La firme estime à 10 000, le nombre de dispositifs IoT ayant été « infectés » par ce malware.

Dans le top 10 des pays les plus touchés, le Brésil vient en tête avec 19 % des cas recensés par Symantec, la Chine et Taiwan sont les moins touchés avec chacun, 6 % des cas recensés. Nous parlons bien de dispositifs IoT sécurisés par le malware Hajime.

Le malware Mirai s’attaque à des objets connectés qui ont leurs ports Telnet libres d’accès et utilisent les mots de passe que les constructeurs fournissent par défaut. Le malware Hajime exploite la même faille, à la différence que jusqu’ici, il n’intègre pas de fonctionnalités d’attaques par déni de services (DDoS).

Il met plutôt en œuvre une routine de verrouillage des ports utilisés par le malware Mirai pour accéder aux dispositifs IoT. Ainsi, dès l'installation sur un dispositif IoT, l’un des ports TCP numéroté 23, 7547, 5555 ou 5358 se verra verrouillé s’il est celui utilisé par le dispositif IoT. Tout jusqu’ici laisse à penser que le malware Hajime a été conçu dans l'unique but de faire face à la menace Mirai. Seulement, comme le souligne Symantec, le niveau de sophistication du malware Hajime est beaucoup plus important que celui du malware Mirai, et donc interpelle.

Ce qui rend le malware Hajime unique c’est qu’il ne s’appuie pas sur un réseau de zombies centralisé sur un serveur de contrôle/commande. Il communique plutôt au travers d’une architecture décentralisée de type P2P. Ceci signifie que chaque dispositif IoT appartenant au réseau est susceptible de relayer des fichiers ou des informations de configuration aux autres. Dit simplement, chaque dispositif IoT devient assimilable à un centre de contrôle/commande.

La firme Symantec est claire, si le malware Hajime venait à être utilisé à des desseins funestes, il serait plus difficile à démanteler. Sam Edwards et Ioannis Profetis, auteurs de la publication qui a révélé le malware Hajime à la communauté de la cybersécurité, pensent que les auteurs du malware Hajime attendent qu’il soit en phase de développement final pour pouvoir en faire une arme.

Sources : Symantec, Publication

Et vous ?

Qu'en pensez-vous ?

Croyez-vous que ce n'est qu'une question de temps avant de voir ce malware utilisé à des desseins néfastes ?

Voir aussi :

Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité, tandis que de nombreux zombies sont désactivés, d'autres prennent leur place

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

[BufferBob]

Qu'en pensez-vous ?

que le désarmement de l'adversaire fait partie de l'intelligence de guerre
note amusante, "Hajime !" marque le début de toute confrontation dans les arts martiaux japonais

[Patrick Ruiz]

Le malware Hajime plus répandu que ne l’avait annoncé Symantec ? Déjà 300 000 objets connectés dans son botnet
D’après Kaspersky Lab

Dans une de ses publications, parue il y a une semaine, la firme de sécurité Symantec affirmait qu’il est difficile d’estimer la taille du botnet P2P du malware Hajime. Elle avait toutefois estimé celle-ci à une dizaine de milliers de dispositifs IoT infectés entre octobre 2016 et avril 2017. Il semblerait cependant que cette estimation doive être revue à la hausse. En effet, la firme de sécurité Kaspersky Lab vient de faire une publication qui fait état d’une expansion plus importante du malware Hajime.

« Ce ver met en place un vaste botnet P2P. Approximativement 300 000 objets connectés en font partie au moment où nous publions ce billet », peut-on lire sur le blog de Kaspersky Lab. Les chercheurs de la firme de sécurité Kaspersky affirment que cette rapide expansion est due à une mue constante du malware Hajime. « Hajime ne cesse d’évoluer, ses fonctionnalités sont constamment mises à jour », écrivent-ils alors. Ainsi, les dispositifs IoT enrôlés dans le botnet du malware Hajime se chiffreraient en centaines de mille.

Dans sa publication sur le malware Hajime, la firme Symantec avait indiqué que le malware attaque les dispositifs IoT par le biais de ports Telnet laissés libres d’accès. La firme Kaspersky signale qu’au-delà des attaques via les ports Telnet, les concepteurs du malware l’ont doté de deux vecteurs d’attaque supplémentaires depuis octobre 2016. Le plus récent de ces vecteurs d’attaque additionnels est l’exploitation de failles dans le standard TR-069 utilisé pour la gestion des réseaux large bande.

Le protocole TR-069 est, d’après la firme Kaspersky, utilisé par les fournisseurs d’accès Internet pour contrôler les modems à distance. Ce protocole fait usage du port TCP 7547, mais certains modems utilisent le port 5555. La firme Kaspersky explique que le malware Hajime met en œuvre un exploit qui utilise la fonctionnalité NewNTPServer pour exécuter des commandes arbitraires sur des dispositifs vulnérables et les enrôler dans son réseau de zombies.

En raison de la nature P2P du botnet du malware Hajime, un noeud du botnet peut tantôt jouer le rôle de client tantôt celui de serveur. Ainsi, il y a une phase d’infection dans laquelle le dispositif télécharge la configuration Hajime se faisant ainsi enrôlé, puis une phase de contamination où il transfère cette configuration à un autre dispositif IoT. L’équipe de chercheurs de Kaspersky Lab a dressé des statistiques concernant les dispositifs qui téléchargeaient la configuration Hajime au moment de leur prise de mesures sur le réseau.

Il en est ressorti qu’il y a eu un total de 297 499 infections par le malware Hajime. Les cinq pays les plus touchés sont l’Iran (19,65 %), le Brésil (8,8 %), le Vietnam (7,87 %), la Russie (7,49 %) et la Turquie (6,16 %).

Le malware Hajime apparemment conçu pour contrer le malware Mirai possèderait donc un domaine plus vaste qu’annoncé précédemment. Ledit domaine est appelé à s’étendre rapidement au vu de l’arsenal de techniques dont les concepteurs du malware le dotent. On est cependant en droit de se questionner sur les motivations véritables de ces derniers parce que même si des attaques par déni de service n’ont pas été enregistrées jusqu’ici, il n’en demeure pas moins que des dispositifs IoT sont enrôlés dans son botnet. Si l’on fait référence au mot japonais « Hajime » qui veut dire commencement, il ne nous reste plus qu’à espérer que ce à quoi on assiste ne soit pas la mise en place d'une vague d'attaques DDoS sans précédent.

Source : Securelist

Et vous ?

Qu'en pensez-vous ?

Quelle appréciation faites-vous des éléments nouveaux apportés par la publication de la firme Kaspersky Lab.

Voir aussi :

Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité, tandis que de nombreux zombies sont désactivés, d'autres prennent leur place