Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs,
A été publié en ligne

Le , par Stéphane le calme

0PARTAGES

9  0 
Un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer l’attaque de déni de service qui a mis hors ligne le site KrebsOnSecurity le mois dernier. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Sur le forum spécialisé Hackforum, le pirate s’est présenté comme étant l’utilisateur Anna-sempai et a expliqué avoir publié le code source en réponse à une surveillance accrue de l’industrie de la sécurité. « Quand je me suis lancé dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps », a commencé Anna-sempai. « J’ai fait de l’argent. Il y a beaucoup d’yeux rivés sur l’internet des objets désormais, alors il est temps de se casser », a-t-il continué.

« Aujourd’hui, j’ai une publication exceptionnelle pour vous. Avec Mirai, je rassemble habituellement 380 000 bots au max uniquement sur telnet », mais les mesures qui sont progressivement prises par les FAI après l’attaque DDoS lancée contre Krebs font « qu’aujourd’hui, mon botnet est constitué d'environ 300 000 bots au maximum » et le nombre continue de diminuer.


Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Selon une étude du cabinet de sécurité Level3 Communications, les réseaux zombies Bashlight sont constitués de près d'un million de dispositifs connectés à internet. « Les deux visent la même exposition des appareils connectés et, dans de nombreux cas, les mêmes dispositifs », a déclaré Dale Drew, chef de la sécurité de Level3. D’ailleurs, selon le cabinet de sécurité, c’est un logiciel malveillant de la famille de Mirai qui a frappé KrebsOnSecurity avec un trafic de 620 Gbps et un autre qui a frappé l’hébergeur OVH avec un pic dépassant le téra octet par seconde.

Du côté de Dr Web, les chercheurs en sécurité déclarent « qu’il existe déjà une forte augmentation des opérateurs de réseaux de zombies qui tentent de trouver et d'exploiter des dispositifs connectés afin d'avoir accès à des réseaux de botnets uniformes et considérables. Ces botnets sont largement utilisés dans des campagnes qui fournissent d’importants revenus aux opérateurs ainsi que la capacité à passer plus de temps à améliorer leurs capacités et à ajouter des couches supplémentaires de sophistication.

En publiant ce code source, cela va sans aucun doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis. Et tandis que la plupart des objets actuels compromis l'ont été sur un exploit telnet très spécifique, je prédis que les opérateurs de botnets désireux de commander plusieurs centaines de milliers de nœuds-botnet seront à la recherche d'un plus grand inventaire d’exploits IdO dont ils peuvent tirer partie. Cela pourrait être le début d'une vague d'attaques contre les dispositifs IdO dans l'espace des consommateurs ».

Comme pour donner du crédit à ce que Dr Web a déclaré, un expert en sécurité, qui a désiré conserver l’anonymat, a déclaré à KrebsOnSecurity avoir lui aussi examiné le code source de Mirai qui a été porté à la connaissance du public. Il a confirmé que ce code inclut une section qui permet de coordonner des attaques GRE (generic routing encapsulation ou Encapsulation Générique de Routage, un protocole de mise en tunnel qui permet d'encapsuler n'importe quel paquet de la couche réseau). D’ailleurs KrebsOnSecurity partage la projection de Dr Web et estime que nous assisterons bientôt à une recrudescence des attaques de ce type.

Source : KrebsOnSecurity, Dr Web

Voir aussi :

OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

Des cyberescrocs se font passer pour le groupe de pirates Armada Collective et menacent des entreprises de lancer des attaques DDoS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 06/10/2016 à 7:50
Citation Envoyé par Bigb Voir le message
Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres.
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.
ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur

pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter

De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !
sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"
5  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 22/10/2016 à 19:22
Citation Envoyé par BufferBob Voir le message
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables
La sécurité est un "jeu" très déséquilibré :
l'équipe en défense ne peut pas gagner : dans le meilleur des cas elle empêche une attaque et évite ainsi de "perdre".
l'équipe en attaque ne peut pas perdre : dans le pire des cas l'attaque est repoussée et elle ne "gagne" pas.

Maintenant si un hack simpliste marche, ça ne veut pas dire que les hackeurs sont mauvais (c'est pas de leur faute si le système n'est pas sécurisé du tout...).

Après le DDoS, c'est un cran au dessus niveau déséquilibre : facile à mettre en place / dur de s'en protéger.
4  0 
Avatar de cosmogol
En attente de confirmation mail https://www.developpez.com
Le 06/10/2016 à 11:25
Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transformE en bots
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 24/10/2016 à 13:54
Ce n'est même pas forcement un problème d'utilisateur...
J'ai coupé récemment l'accès internet à mon imprimante l'ayant retrouvé sur un moteur de recherche d'objets connectés mal sécurisés.
Je n'ai aucune interface me permettant de modifier le mot de passe...
Donc à part lui couper l'accès vers le monde extérieur je peux pas faire grand chose...
C'est la même chose pour bon nombre d'objets connectés, vous pouvez changer le mot de passe de l'interface locale d'administration, mais pas celui de la connexion de mise à jour ou d'administration distante d'usine ou encore de debug...
2  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 18/11/2016 à 14:44
Ils n'ont pas parlé de noob, mais de joueur mécontent.
Déjà il a su ou louer le temps de bot et comment. Ce qui n''est pas rien.
2  0 
Avatar de Bigb
Membre averti https://www.developpez.com
Le 05/10/2016 à 21:51
Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres. En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.

De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !
1  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 24/10/2016 à 19:42
Citation Envoyé par Omote Voir le message
Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues". Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).
C'est la seule protection viable contre le DDoS (c'est pour ça que ça fait tant de dégâts...)

Mais sinon c'est assez ironique. Étant petit, on a tous entendu nos parents nous dire "ne parle pas à des inconnus" "n'accepte pas de bonbons d'un inconnu" etc...
Appliquer les mêmes règles sur le net réduirait drastiquement le phishing (et donc le vol d'identité / DDoS / autre joyeuseté). Les règles tout le monde les connait, personne ne les applique.
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 26/10/2016 à 7:38
Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.
1  0 
Avatar de codec_abc
Membre confirmé https://www.developpez.com
Le 31/10/2016 à 12:40
Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 01/11/2016 à 11:52
Citation Envoyé par marsupial Voir le message
Une appli sur smartphone en 'boucle locale' ?
la boucle locale c'est ce qu'on appelle en anglais le "loopback", et par définition ça ne sort pas de la carte réseau, peu de chances d'atteindre le micro-onde donc

je pense que chrtophe devait plus probablement faire référence au fait que le quidam n'y connait rien à la sécurité, donc même si on lui donne une interface c'est pas ce qui lui donnera les bons réflexes à avoir ou changera ses habitudes
1  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web