En 2016, le botnet Mirai s’est illustré par la violence des attaques DDoS qu’il a généré en s’appuyant sur la puissance de calcul des objets connectés. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.Vers la fin de cette même année, un hacker en a publié le code source et la communauté d’experts en sécurité a estimé que cela pouvait représenter un danger potentiellement plus important.
Progressivement sont apparus des variantes de ce botnet, auxquels les hackers rajoutaient toujours plus de fonctionnalités. D’ailleurs, comme l’explique l’équipe de Fortinet, à ce jour de nombreuses variantes existent, probablement parce que le code a été mis à la disposition de tous.
« Certains ont fait des modifications importantes, comme l'ajout de la capacité de transformer des dispositifs infectés en essaims de proxies de logiciels malveillants et de mineur de cryptomonnaie. D'autres ont intégré le code Mirai avec de multiples exploits ciblant des vulnérabilités connues et inconnues, similaires à une nouvelle variante récemment découverte par FortiGuard Labs, que nous avons baptisé WICKED », avance les chercheurs.
Cette variante de Mirai a ajouté à son arsenal d’attaque au moins trois exploits afin de pouvoir cibler les appareils connectés présentant des failles qui n’ont pas été colmatées.
Comme le rappellent les chercheurs, les botnets Mirai contiennent généralement trois modules principaux, notamment Attack, Killer et Scanner. Dans leur analyse, ils se sont concentrés sur le module Scanner qui inclut le mécanisme de diffusion du botnet. Le botnet Mirai d’origine a utilisé des tentatives de force brute traditionnelles pour accéder aux périphériques IdO. Le botnet WICKED, pour sa part, utilise des exploits connus et disponibles, dont beaucoup sont déjà assez anciens.
Les vulnérabilités utilisées par Wicked incluent une injection de commandes Netgear R7000 et R64000 (CVE-2016-6277), une exécution de code à distance CCTV-DVR et un shell Invoker dans des serveurs Web compromis.
Lorsque le botnet réussi à pénétrer dans le système, il va télécharger une charge supplémentaire d’un site Web qui pointe vers Owari, une variante de Mirai. Cependant, durant leur analyse, ils ont noté que les échantillons de bot Owari ne pouvaient plus être trouvés sur le site et qu’à la place Wicked téléchargeait le bot Omni, une autre variante de Mirai. Selon Fortinet, tous ces botnets sont du même auteur.
Les appareils IdO restent des cibles de choix pour les hackers parce qu’ils ont souvent des failles dans leurs sécurité (mot de passe par défaut - l’utilisateur n’est souvent pas obligé de le changer dès l’utilisation -, compte administrateur codé en dur, etc.). Afin d'éviter d'être victime de piratages de leurs objets connectés à internet, les utilisateurs doivent régulièrement télécharger les mises à jour de leurs périphériques lorsque celles-ci sont disponibles. Il faut également veiller à changer les identifiants fournis par défaut dès la première utilisation.
Source : Fortinet
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Perspectives cybercécurité 2018 : Fortinet prévient contre les botnets intelligents, des « swarms » dotés de capacités d'auto-apprentissage Un développeur, qui a loué un botnet pour payer ses frais de scolarité, parvient à éviter la prison et obtient deux ans de probation Une nouvelle vague d'attaques de botnets d'IdO plus dévastateurs que Mirai se prépare, d'après des chercheurs qui invitent à prendre des précautions Des appareils Raspberry Pi détournés par un malware Linux pour le minage de cryptomonnaie, les appareils sont ajoutés à un botnet Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac, il sert de porte dérobée et dispose de plusieurs modules