Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs,
A été publié en ligne

Le , par Stéphane le calme, Chroniqueur Actualités
Un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer l’attaque de déni de service qui a mis hors ligne le site KrebsOnSecurity le mois dernier. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Sur le forum spécialisé Hackforum, le pirate s’est présenté comme étant l’utilisateur Anna-sempai et a expliqué avoir publié le code source en réponse à une surveillance accrue de l’industrie de la sécurité. « Quand je me suis lancé dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps », a commencé Anna-sempai. « J’ai fait de l’argent. Il y a beaucoup d’yeux rivés sur l’internet des objets désormais, alors il est temps de se casser », a-t-il continué.

« Aujourd’hui, j’ai une publication exceptionnelle pour vous. Avec Mirai, je rassemble habituellement 380 000 bots au max uniquement sur telnet », mais les mesures qui sont progressivement prises par les FAI après l’attaque DDoS lancée contre Krebs font « qu’aujourd’hui, mon botnet est constitué d'environ 300 000 bots au maximum » et le nombre continue de diminuer.


Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Selon une étude du cabinet de sécurité Level3 Communications, les réseaux zombies Bashlight sont constitués de près d'un million de dispositifs connectés à internet. « Les deux visent la même exposition des appareils connectés et, dans de nombreux cas, les mêmes dispositifs », a déclaré Dale Drew, chef de la sécurité de Level3. D’ailleurs, selon le cabinet de sécurité, c’est un logiciel malveillant de la famille de Mirai qui a frappé KrebsOnSecurity avec un trafic de 620 Gbps et un autre qui a frappé l’hébergeur OVH avec un pic dépassant le téra octet par seconde.

Du côté de Dr Web, les chercheurs en sécurité déclarent « qu’il existe déjà une forte augmentation des opérateurs de réseaux de zombies qui tentent de trouver et d'exploiter des dispositifs connectés afin d'avoir accès à des réseaux de botnets uniformes et considérables. Ces botnets sont largement utilisés dans des campagnes qui fournissent d’importants revenus aux opérateurs ainsi que la capacité à passer plus de temps à améliorer leurs capacités et à ajouter des couches supplémentaires de sophistication.

En publiant ce code source, cela va sans aucun doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis. Et tandis que la plupart des objets actuels compromis l'ont été sur un exploit telnet très spécifique, je prédis que les opérateurs de botnets désireux de commander plusieurs centaines de milliers de nœuds-botnet seront à la recherche d'un plus grand inventaire d’exploits IdO dont ils peuvent tirer partie. Cela pourrait être le début d'une vague d'attaques contre les dispositifs IdO dans l'espace des consommateurs ».

Comme pour donner du crédit à ce que Dr Web a déclaré, un expert en sécurité, qui a désiré conserver l’anonymat, a déclaré à KrebsOnSecurity avoir lui aussi examiné le code source de Mirai qui a été porté à la connaissance du public. Il a confirmé que ce code inclut une section qui permet de coordonner des attaques GRE (generic routing encapsulation ou Encapsulation Générique de Routage, un protocole de mise en tunnel qui permet d'encapsuler n'importe quel paquet de la couche réseau). D’ailleurs KrebsOnSecurity partage la projection de Dr Web et estime que nous assisterons bientôt à une recrudescence des attaques de ce type.

Source : KrebsOnSecurity, Dr Web

Voir aussi :

OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

Des cyberescrocs se font passer pour le groupe de pirates Armada Collective et menacent des entreprises de lancer des attaques DDoS


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Dhafer1 Dhafer1 - Membre régulier https://www.developpez.com
le 03/10/2016 à 22:03
J'aimerais bien consulter le code source, y'a t'il un lien où on peut le trouver ?
Avatar de _FLX_ _FLX_ - Membre du Club https://www.developpez.com
le 03/10/2016 à 22:30
Avatar de Bigb Bigb - Membre actif https://www.developpez.com
le 05/10/2016 à 21:51
Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres. En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.

De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 06/10/2016 à 7:50
Citation Envoyé par Bigb Voir le message
Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres.
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.
ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur

pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter

De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !
sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"
Avatar de cosmogol cosmogol - Membre à l'essai https://www.developpez.com
le 06/10/2016 à 11:25
Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transformE en bots
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 17/10/2016 à 19:32
Le malware Mirai, qui peut créer des botnets d'objets connectés, se déploie sur des passerelles Sierra Wireless,
l'équipementier exhorte à changer les identifiants par défaut

Le mois de septembre a été marqué par la violence des attaques par déni de service qui ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire avec des pics de trafic atteignant 1156 Gbps. Par la suite, au début du mois, un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer ces vagues d’attaques contre ces cibles.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Si les chercheurs ont estimé que cette initiative allait sans doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis, il n’aura pas fallu beaucoup de temps aux cyber criminels pour s’en servir.

En effet, Sierra Wireless, l’équipementier canadien en dispositifs sans fil, a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». Par la suite, en se servant de la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle et par conséquent simplifie également l’attaque.


L’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) a expliqué avoir reçu un bulletin de sécurité émanant du Canadien qui décrivait des mesures d'atténuation pour sécuriser les périphériques Airlink infectés par (ou étant potentiellement vulnérables) le logiciel malveillant Mirai. « Bien que les dispositifs Sierra Wireless ne sont pas la cible du logiciel malveillant, ne pas changer les identifiants attribués par défaut, qui sont accessibles publiquement, peut entraîner la compromission du dispositif », a prévenu l’équipe. Les produits qui sont particulièrement vulnérables au logiciel malveillant sont les passerelles Sierra Wireless LS300, GX400, GX/ES440, GX/ES450, et RV50.

L’ICS-CERT précise qu’aucune vulnérabilité logicielle ou matérielle des passerelles n’est exploitée par Mirai, mais qu’il s’agit d’un problème de gestion de configuration.

Quoiqu’il en soit, voici ce que Sierra recommande aux propriétaires des dispositifs cités ci-dessus :
  • redémarrer la passerelle afin d’éliminer un quelconque logiciel Mirai existant ;
  • changer immédiatement le mot de passe ACEmanager.

L’entreprise fait également des recommandations sur la façon de protéger le réseau local.

Source : ICS-CERT, Sierra Wireless (au format PDF)

Voir aussi :

OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 22/10/2016 à 16:39
Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures,
essentiellement pour les internautes américains

Depuis la publication du code source de Mirai, un logiciel malveillant qui permet la création d’un botnet d’objets connectés pour lancer des attaques de déni de service, le nombre d’opérateurs de réseaux de zombies a augmenté comme le craignaient des experts en sécurité.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des rapports liés à ce logiciel malveillant se sont multipliés, comme un rapport publié il y a quelques jours par Sierra Wireless, l’équipementier canadien en dispositifs sans fil, qui a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ».

Cette fois-ci, le logiciel a été impliqué dans une attaque DDoS lancée contre Dyn, un fournisseur de service DNS. Vendredi 21 octobre en fin d’après-midi, Dyn a confirmé qu’une attaque a été lancée contre ses services, paralysant ainsi l’accès aux sites de ses clients à l’Est des États-Unis même si certains sites étaient inaccessibles depuis l’Europe. Selon le baromètre DataNyze, Dyn possède 4,7 % des sites figurant sur le top 1M de l’indice Alexa, soit 82 712 sites. Parmi eux, figurent des icônes comme Paypal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb. Peu après minuit (heure de Paris), l’entreprise a annoncé avoir résolu cet incident.


Dyn a indiqué que l’attaque est venue de millions d’adresses internet, en faisant l’une des plus puissantes jamais observées. Comme pour l’attaque contre OVH ou KrebsOnSecurity, une partie du trafic de l’attaque s’est appuyée sur des milliers de dispositifs connectés comme des caméras de surveillance, des moniteurs de bébé et des routeurs maisons qui ont été infectés à l’insu de l’utilisateur. Dale Drew, chef de la sécurité, a déclaré que d'autres réseaux de machines compromises ont également été utilisés dans l'attaque de vendredi, ce qui suggère que l'auteur avait loué l'accès à plusieurs botnets.

Face à l’ampleur de l’attaque, le FBI et la sécurité nationale américaine se sont déjà penchés sur cette attaque pour étudier toutes les causes potentielles parmi lesquelles une activité criminelle ou un attaque contre les États-Unis.

Les chercheurs en sécurité ont longtemps averti que le nombre croissant de dispositifs connectés peut potentiellement représenter un énorme problème de sécurité. Faisant allusion à l’attaque lancée vendredi, les chercheurs ont averti qu’il ne s’agit là que d’un aperçu de la façon dont ces dispositifs peuvent être utilisés pour lancer des attaques en ligne.

Source : Reuters, Dyn
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 22/10/2016 à 17:21
Un article intéressant, en rapport avec les attaques récentes : Someone Is Learning How to Take Down the Internet.
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 22/10/2016 à 18:17
essentiellement pour les internautes américains
Et les abonnés Numéricable apparemment
C'était presque impossible de se connecter à Github ou Twitter depuis mon PC hier soir
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 22/10/2016 à 19:11
Citation Envoyé par BufferBob Voir le message
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur

pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter

sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"

Dans ma partie, j'ai la conscience tranquille du devoir accompli et achevé sans aller au-delà des possibilités; les jalons sont déjà posés pour l'avenir tout en restant disponible et ouvert à toutes éventualités, c'est-à-dire si je pense à mieux sans être l'ennemi du bien.
Ce qui a été mis en place reste sous brevet et classé mais peut s'adapter et s'intégrer à peu près partout avec un peu de cervelle et de volonté : tous systèmes et réseaux.

Donc gros +1 à la nuance près de la révélation du code source encore que cela permettrait de faire une pause pour sérieusement se pencher sur la question.

Edit : gros merci à vous tous pour votre patience et votre veille.
Offres d'emploi IT
Ingénieur développement électronique H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Ingénieur développement logiciels temps réel embarqué H/F
Safran - Ile de France - Éragny (95610)
Ingénieur statisticien H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil