XiongMai Technologies, une entreprise chinoise admet que ses appareils ont été utilisés par Mirai
Dans les récentes attaques DDoS menées contre Dyn
Le 2016-10-24 07:39:22, par Olivier Famien, Chroniqueur Actualités
Alors que les experts en sécurité avaient longtemps attiré l’attention de la communauté IT sur les risques que représentent les objets connectés, c’est vendredi dernier qu’il nous a été donné de voir le danger réel que représentent ces appareils. En effet, ce vendredi, Dyn, le fournisseur de service DNS a subi trois vagues d’attaques par déni de service hautement distribué contre ses infrastructures. Ces attaques jamais enregistrées auparavant par l’entreprise ont été si virulentes qu’elles ont entraîné des lenteurs pour certains sites et l’inaccessibilité des sites de ses clients à l’est des États-Unis.
Derrière ces attaques, Dyn indexe Mirai, un botnet qui exploite sur la toile les objets connectés mal protégés avec des identifiants attribués par défaut par leurs fabricants. Ces failles sont alors exploitées par Mirai afin d’utiliser ces objets dans des attaques massives par déni de service contre des plateformes.
Avec l’aide de Flashpoint et Akamai, Dyn a pu recenser des dizaines de millions d’adresses IP utilisées pour étouffer ses infrastructures DNS. Le fournisseur de backbone, Level 3 Communications, parle pour sa part d’au moins 500 000 appareils utilisés dans ces cyberattaques. Face à une telle ampleur, il ne serait pas surprenant de voir un grand nombre d’objets fabriqués par des entreprises de grands noms être impliqués dans ces attaques.
Et depuis quelques heures, on en sait un peu plus sur les objets utilisés pour tenter de faire tomber la plateforme de Dyn. En effet, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR vient de confesser que ses produits ont par inadvertance joué un rôle dans la cyberattaque massive qui a perturbé les principaux sites internet aux États-Unis le vendredi.
Plus précisément, l’entreprise chinoise assène que « ;Mirai est un grand désastre pour l’internet des objets ;». Et d’ajouter que « ;nous devons admettre que nos produits ont également souffert d’effractions et d’utilisations illégales par les pirates ;».
Il faut noter que lorsque les attaques sont survenues, le fournisseur de solutions de sécurité, Flashpoint a souligné ouvertement que Mirai cible les objets connectés comme les routeurs, les enregistreurs DVR, les webcams, les caméras de sécurité afin de les asservir pour ensuite les utiliser dans des attaques DDoS.
La sortie de XiongMai Technologies pour préciser que ses équipements ont été également utilisés dans ces attaques n’est donc pas une surprise. L’entreprise explique que le malware a pu se rendre maître des appareils des utilisateurs pour lesquels les mots de passe par défaut du fabricant n’avaient pas été changés. Un patch avait déjà été publié en septembre 2015 afin d’éviter un tel scénario. Le correctif du firmwire demandait aux clients de changer le mot de passe par défaut lorsqu’ils utilisaient les appareils de l’entreprise pour la première fois. Mais les appareils tournant avec de vieilles versions du système sont toujours vulnérables.
Etant donné que la menace est constante, les utilisateurs des équipements connectés sont donc priés de changer les mots de passe par défaut de leurs appareils qui ont été fournis par leur fabriquant au risque de contribuer involontairement à propager les effets de Mirai et autres malwares sur la toile.
Source : China Cyber Safety
Et vous ?
De quelle entreprise pensez-vous que les appareils puissent être également impliqués dans ces récentes attaques ?
Voir aussi
Des hackeurs utilisent un malware pour faire tomber le réseau électrique Dans l'ouest de l'Ukraine
La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
Derrière ces attaques, Dyn indexe Mirai, un botnet qui exploite sur la toile les objets connectés mal protégés avec des identifiants attribués par défaut par leurs fabricants. Ces failles sont alors exploitées par Mirai afin d’utiliser ces objets dans des attaques massives par déni de service contre des plateformes.
Avec l’aide de Flashpoint et Akamai, Dyn a pu recenser des dizaines de millions d’adresses IP utilisées pour étouffer ses infrastructures DNS. Le fournisseur de backbone, Level 3 Communications, parle pour sa part d’au moins 500 000 appareils utilisés dans ces cyberattaques. Face à une telle ampleur, il ne serait pas surprenant de voir un grand nombre d’objets fabriqués par des entreprises de grands noms être impliqués dans ces attaques.
Et depuis quelques heures, on en sait un peu plus sur les objets utilisés pour tenter de faire tomber la plateforme de Dyn. En effet, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR vient de confesser que ses produits ont par inadvertance joué un rôle dans la cyberattaque massive qui a perturbé les principaux sites internet aux États-Unis le vendredi.
Plus précisément, l’entreprise chinoise assène que « ;Mirai est un grand désastre pour l’internet des objets ;». Et d’ajouter que « ;nous devons admettre que nos produits ont également souffert d’effractions et d’utilisations illégales par les pirates ;».
Il faut noter que lorsque les attaques sont survenues, le fournisseur de solutions de sécurité, Flashpoint a souligné ouvertement que Mirai cible les objets connectés comme les routeurs, les enregistreurs DVR, les webcams, les caméras de sécurité afin de les asservir pour ensuite les utiliser dans des attaques DDoS.
La sortie de XiongMai Technologies pour préciser que ses équipements ont été également utilisés dans ces attaques n’est donc pas une surprise. L’entreprise explique que le malware a pu se rendre maître des appareils des utilisateurs pour lesquels les mots de passe par défaut du fabricant n’avaient pas été changés. Un patch avait déjà été publié en septembre 2015 afin d’éviter un tel scénario. Le correctif du firmwire demandait aux clients de changer le mot de passe par défaut lorsqu’ils utilisaient les appareils de l’entreprise pour la première fois. Mais les appareils tournant avec de vieilles versions du système sont toujours vulnérables.
Etant donné que la menace est constante, les utilisateurs des équipements connectés sont donc priés de changer les mots de passe par défaut de leurs appareils qui ont été fournis par leur fabriquant au risque de contribuer involontairement à propager les effets de Mirai et autres malwares sur la toile.
Source : China Cyber Safety
Et vous ?
Voir aussi
-
transgohanExpert éminentCe n'est même pas forcement un problème d'utilisateur...
J'ai coupé récemment l'accès internet à mon imprimante l'ayant retrouvé sur un moteur de recherche d'objets connectés mal sécurisés.
Je n'ai aucune interface me permettant de modifier le mot de passe...
Donc à part lui couper l'accès vers le monde extérieur je peux pas faire grand chose...
C'est la même chose pour bon nombre d'objets connectés, vous pouvez changer le mot de passe de l'interface locale d'administration, mais pas celui de la connexion de mise à jour ou d'administration distante d'usine ou encore de debug...le 24/10/2016 à 13:54 -
fenkysMembre éprouvéIls n'ont pas parlé de noob, mais de joueur mécontent.
Déjà il a su ou louer le temps de bot et comment. Ce qui n''est pas rien.le 18/11/2016 à 14:44 -
IradrilleExpert confirméC'est la seule protection viable contre le DDoS (c'est pour ça que ça fait tant de dégâts...)
Mais sinon c'est assez ironique. Étant petit, on a tous entendu nos parents nous dire "ne parle pas à des inconnus" "n'accepte pas de bonbons d'un inconnu" etc...
Appliquer les mêmes règles sur le net réduirait drastiquement le phishing (et donc le vol d'identité / DDoS / autre joyeuseté). Les règles tout le monde les connait, personne ne les applique.le 24/10/2016 à 19:42 -
chrtopheResponsable SystèmesLes objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.le 26/10/2016 à 7:38
-
codec_abcMembre confirméEst-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...le 31/10/2016 à 12:40
-
BufferBobExpert éminentla boucle locale c'est ce qu'on appelle en anglais le "loopback", et par définition ça ne sort pas de la carte réseau, peu de chances d'atteindre le micro-onde donc
je pense que chrtophe devait plus probablement faire référence au fait que le quidam n'y connait rien à la sécurité, donc même si on lui donne une interface c'est pas ce qui lui donnera les bons réflexes à avoir ou changera ses habitudesle 01/11/2016 à 11:52 -
IradrilleExpert confirméC'est plutôt cool ces attaques quand même.
Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feuet que les industriels les prennent pour des cons en leur vendant de la merde.
Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.le 02/11/2016 à 19:43 -
gangsoleilModérateurL'article de Brian Krebs sur l'attaque sur le Liberia est très intéressante : https://krebsonsecurity.com/2016/11/...beria-offline/
Pour ceux qui ont la flemme de lire :
“Neither @dynresearch nor @akamai_soti have data supporting the assertion that Liberia suffered a national outage,” tweeted Dyn’s Doug Madory.
To recap: Did a Mirai botnet attack an infrastructure provider in Liberia? No question. Is the IoT problem bad enough that we have to worry about entire countries being knocked offline? Quite possibly. Was there an outage that knocked the country of Liberia offline this week? I have yet to see the evidence to support that claim.
le 08/11/2016 à 12:03 -
SkyZoThreaDMembre expérimentéQue c'est faux
Quand on voit des puissants hackers se faire gauler malgré les précautions qu'ils prennent, je vois mal un noob acheter un exploit 0day sur le darkweb, lancer une attaque massive ayant des conséquences rarement observées et rester insoupçonné pendant des semaines... Reste à savoir pourquoi raconter des telles sottises.le 18/11/2016 à 12:31 -
TiranusKBXExpert confirméIl y a rien de tel que de racheter une entreprise qui vient de chuter en bourse suite à une mésaventure, n'est-ce pas ?
le 22/11/2016 à 17:31