Linux/IRCTelnet, un nouveau malware pour succéder à Mirai
Et qui pourrait avoir infecté environ 3500 appareils connectés en cinq jours

Le , par Michael Guilloux, Chroniqueur Actualités
La récente vague d’attaques DDoS lancées contre les services du fournisseur DNS Dyn a montré que les objets connectés peuvent être utilisés pour mettre en mal le réseau internet mondial. Avec la prolifération de ces dispositifs connectés, c’est une armée potentielle de bots qui se déploie sur la toile. Et depuis que le code source de Mirai a été rendu public, il semble que les pirates ont tout ce qu’il faut pour lancer des attaques DDoS de grande ampleur.

Sur le site Malware Must Die, des chercheurs en sécurité ont publié un rapport sur un nouveau malware capable de créer des botnets d’objets connectés en s’attaquant aux périphériques IoT (routeurs, systèmes d'éclairage intelligents, caméras de surveillance, etc.) qui utilisent des informations d'identification par défaut ou codées en dur. Pour être plus sophistiqué, ce nouveau malware exploite les codes source de différents autres botnets IoT.

Baptisé Linux/IRCTelnet, le nouveau malware est d’abord basé sur le code source du botnet Aidra. Aidra est l’un des premiers botnets d’objets connectés connus qui, dans le passé, a infecté des périphériques connectés à Internet, y compris des systèmes embarqués, pour effectuer des attaques DDoS. Linux/IRCTelnet utilise également la fonction de scanner Telnet d'un autre bot d’objets connectés connu sous le nom de Bashlight. Et pour détourner les appareils connectés à internet, il utilise les combinaisons de mots de passe et nom utilisateur fournies dans le code source de Mirai, le malware qui a été utilisé dans l’attaque contre Dyn.

« Le malware (le client bot) est conçu pour viser le périphérique IoT via le protocole Telnet », indiquent les chercheurs. Ils affirment également que le botnet utilise différents mécanismes d’attaques comme les inondations UDP (User Datagram Protocol) qui consistent à envoyer un grand nombre de paquets UDP depuis des adresses source usurpées à des ports aléatoires sur un hôte ciblé. Il peut employer bien d’autres méthodes d'attaque, à la fois à travers les protocoles IPv4 et IPv6.

D’après les chercheurs, il pourrait avoir infecté 3500 appareils connectés en seulement 5 jours. Il faut toutefois noter que comme la plupart des bots IoT, Linux/IRCTelnet n'est pas persistant. En d’autres termes, un simple redémarrage pourrait permettre d’effacer le malware sur les appareils infectés. Mais, c’est une solution éphémère puisqu’ils pourront être infectés à nouveau. En effet, une fois qu'un périphérique est infecté, son adresse IP est stockée afin que l’attaquant puisse le réinfecter s'il perd le contact avec le canal de commande et de contrôle. Il faudrait donc prendre des mesures plus efficaces qu’un simple redémarrage, en commençant par exemple par un changement des identifiants de connexion.

Linux/IRCTelnet pourrait être le début d’une nouvelle génération de malwares qui pourraient transformer l’internet des objets en internet des menaces, surtout avec la prolifération des appareils connectés à internet qui par défaut sont sans défense contre ces menaces.

Source : Malware Must Die

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation http, première piste de défense active
Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut
Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 02/11/2016 à 19:43
C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 02/11/2016 à 21:19
Pour quand le protocole de sécurité sur internet ? Parce-que https ne suffit visiblement pas quand bien même les sites commerciaux se croient protégés avec
Avatar de Kirisute Gomen Kirisute Gomen - Membre à l'essai https://www.developpez.com
le 03/11/2016 à 13:07
Citation Envoyé par Iradrille Voir le message
C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.
C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent )
Dommage que les médias grand-public n'en parlent pas vraiment...
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 04/11/2016 à 11:58
Les opérateurs de Mirai ont presque fait plier les services internet d'un pays,
qui disposait d'un point unique de défaillance à l'accès internet

Après la publication du code source de Mirai, plusieurs membres de la communauté des experts en sécurité se sont inquiétés de voir une augmentation de l’utilisation de ce logiciel malveillant capable de créer un réseau de zombies d’objets connectés pour lancer des attaques DDoS. Peu de temps après, une attaque a été lancée contre Dyn, un fournisseur de service DNS, qui a entraîné la perturbation de l’accès à de nombreux sites internet populaires en termes de trafic pendant des heures (PayPal, Twitter, GitHub, Netflix, Spotify, pour ne citer que ceux-là).

Cette fois-ci, c’est un autre botnet Mirai, Mirai Botnet 14, qui a été utilisé dans une attaque lancée contre le Libéria, un petit pays situé en Afrique de l’Ouest. Kevin Beaumont, un chercheur en sécurité, explique « qu’au courant de la semaine dernière, nous avons assisté à des attaques de courte durée sur les infrastructures contre la nation libérienne. Le Libéria dispose d’un câble Internet, installé en 2011, qui fournit un point unique de défaillance à l'accès à Internet. De ce que nous avons pu observer, les sites hébergés dans le pays ont été mis hors ligne pendant les attaques - en outre, une source dans le pays travaillant pour une Télécom a confirmé à un journaliste qu'ils ont vu la connectivité internet devenir intermittente à des moments qui coïncident avec l'attaque. Ces attaques sont extrêmement inquiétantes car elles suggèrent qu’un opérateur de Mirai, disposant de capacité suffisante, peut avoir un impact sérieux sur les systèmes à l’échelle d’un État ».

De plus, il estime qu’étant donné le volume du trafic, il est probable que ce soit les personnes derrière l’attaque contre Dyn qui ont également lancé cette attaque contre le Libéria.


Les attaques étaient reportées au même moment par le compte Twitter @MiraiAttacks qui a été ouvert par MalwareTech.com, un spécialiste en sécurité qui surveille également les activités de Mirai. Le botnet n’a pas manqué de s’attaquer à ses propres infrastructures comme il l’a signalé sur le même compte Twitter ainsi qu’une entreprise tierce qui a noté l’attaque. Beaumont explique que « tandis que je faisais des tweets en live sur ces problèmes générés par Mirai, voici le message qui a été envoyé par le botnet » :


À cause de ce message subtil qui lui a été envoyé, Kevin a baptisé Botnet 14 « Shadow Kill ».

Avec une guerre civile qui a durée plus d’une décennie, le Libéria a vu ses infrastructures de télécommunication ravagées et, à ce moment-là, seule une très petite portion des citoyens avait accès à Internet via une communication par satellite.

Toutefois, certains progrès ont été réalisés plus tard en 2011, lorsque le câble de fibre optique sous-marin ACE (Africa Coast to Europe) de 17 000 km a été déployé à des profondeurs avoisinant les 6000 mètres sous le niveau de la mer de la France au Cap, via la côte ouest de l'Afrique. Pour rappel, il s'agit un projet au long cours, mené par un consortium international piloté par Orange, qui y a impliqué ses filiales africaines.

En décembre 2012, le premier tronçon, d’une longueur de 12000 km, desservait déjà 18 pays : la France, le Portugal, les Îles Canaries, la Mauritanie, le Sénégal, la Gambie, la Guinée, la Sierra Leone, le Liberia, la Côte d’Ivoire, le Bénin, le Ghana, le Nigéria, la Guinée Equatoriale, le Gabon et Sao Tomé & Principe. Le Mali et le Niger, deux pays sans façade maritime, ont été connectés grâce à un prolongement terrestre.

Le second tronçon, d’une longueur de 5000 km, relie désormais l’île de Sao Tomé et Principe, dans le golfe de Guinée, et Le Cap en Afrique du Sud. C’est donc bien un total de 17 000 km de fibres optiques qui apportent désormais la connectivité Internet à toute la façade Atlantique du continent africain, en incluant le Cameroun, la République Démocratique du Congo, l'Angola, la Namibie et l'Afrique du Sud.

Pourquoi avoir attaqué le Libéria ? Les hypothèses sont nombreuses. Mais l’une d’elle émane d’un chercheur en sécurité qui estime que le botnet s’attaque à de petits pays peu connus qui peuvent être un camp d’entraînement idéal pour tester les armes dont dispose Mirai à une plus grande échelle. Certains experts pensent que les futures attaques de Mirai pourraient atteindre les 10 Tbps, soit des attaques bien plus violentes que le pic record qui a été observé contre OVH qui était de 1,5 Tbps.

Source : billet Kevin Beaumont

Voir aussi :

OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 04/11/2016 à 13:31
Citation Envoyé par Kirisute Gomen Voir le message
C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent )
Dommage que les médias grand-public n'en parlent pas vraiment...
Tout comme un électricien/électronicien qui ne connaît pas la mécanique concevant une voiture fera de gros dégats. Comparativement à ces disciplines, l'informatique est encore jeune et pleine de "mystères" jalousement secret pour des raisons X ou Y plus ou moins éthiques. Il n'y a pas de religions, juste des origines applicatives qui font que la conception peut prêter à sourire ou facher, c'est selon. Nul n'est parfait et on ne peut pas penser à tout dans un domaine neuf. Sauf lorsque des livres d'anticipation ont prévenu. Pour la plupart d'origine anglo-saxonne.

"Chacun doit rester conscient qu'il ne sait rien."

Techniquement, je me pose une question ou deux.
Pourquoi cet angle d'attaque ?
Pourquoi est-il connu ?

Je ne réfléchis pas trop aux diverses réponses qui s'offrent; par contre, j'ai des doutes.

Voilà la lune noire dont rêvait les américains. Au moins celle-ci ne fait pas de morts. Pour l'instant.
Par contre, ce coup-ci, le(s) opérateur(s) ont tapé là où tous les informaticiens s'interdisent tous de taper : le réseau internet.

edit : media mainstream qui a fait plus de bruit que les impôts que ne paient pas Apple.
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 04/11/2016 à 19:36
Citation Envoyé par Stéphane le calme Voir le message
Pourquoi avoir attaqué le Libéria ? Les hypothèses sont nombreuses. Mais l’une d’elle émane d’un chercheur en sécurité qui estime que le botnet s’attaque à de petits pays peu connus qui peuvent être un camp d’entraînement idéal pour tester les armes dont dispose Mirai à une plus grande échelle. Certains experts pensent que les futures attaques de Mirai pourraient atteindre les 10 Tbps, soit des attaques bien plus violentes que le pic record qui a été observé contre OVH qui était de 1,5 Tbps.
Çà semble logique : test et/ou menace.

Si le but était de couper le net au Libéria, une attaque physique serait bien plus efficace : il n'y a qu'un câble à couper.
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 08/11/2016 à 12:03
L'article de Brian Krebs sur l'attaque sur le Liberia est très intéressante : https://krebsonsecurity.com/2016/11/...beria-offline/

Pour ceux qui ont la flemme de lire :

“Neither @dynresearch nor @akamai_soti have data supporting the assertion that Liberia suffered a national outage,” tweeted Dyn’s Doug Madory.
To recap: Did a Mirai botnet attack an infrastructure provider in Liberia? No question. Is the IoT problem bad enough that we have to worry about entire countries being knocked offline? Quite possibly. Was there an outage that knocked the country of Liberia offline this week? I have yet to see the evidence to support that claim.
Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 18/11/2016 à 10:28
Attaques DDoS contre Dyn : l’auteur serait un joueur qui cherchait à mettre hors ligne un site de jeu,
selon le rapport de Level 3 Communications

Le 21 octobre dernier, Dyn, le fournisseur américain du service DNS a connu plusieurs vagues d’attaques de déni de service distribué (DDoS). Suite à ces attaques, plusieurs sites importants dont les services sont fournis par Dyn n’étaient pas accessibles à partir de l’est des États-Unis et aussi à partir de l’Europe. Ce sont entre autres sites PayPal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb pour ne citer que ceux-là. Avec son support technique et l’aide de la communauté IT, Dyn a pu contenir les attaques qui avaient pour objectif de noyer entièrement son réseau.

Dès les premières heures après les attaques, Level 3 Communications, l’entreprise américaine spécialisée dans les télécommunications et informations a donné ses analyses en pointant du doigt le malware Mirai qui aurait été utilisé pour contraindre des milliers d’objets connectés mal protégés sur la toile à envoyer des données parasites vers les infrastructures de Dyn. Selon Level 3, ces objets ont délivré environ 500 Go par seconde de trafic vers Dyn. De quoi effectivement faire plier même les infrastructures les plus robustes.

Juste après ces attaques, l’on a eu droit à une revendication d’un groupe de Hackers baptisé New World Hackers et protestant que c’était un « test de puissance » en vue de la préparation d’une attaque d’une plus grande envergure contre la Russie. Bien que la thèse d’un groupe de hackers indépendants semble plausible, les chercheurs en sécurité eux avaient plus les regards tournés vers les entités étatiques notamment la Russie et la Chine. Toutefois, après les conclusions des premières investigations, le directeur du renseignement américain James Clapper a formellement affirmé au cours d’une conférence donnée au centre de recherche Council on Foreign Relations (CFR), que ces attaques ne sont pas l’œuvre de pirates parrainés par un état.

Level 3 qui s’est donné pour objectif d’élucider cette affaire a pris sur elle de mener des recherches afin de savoir qui se cache derrière ce forfait de haut rang. Et il y a quelques heures, l’entreprise a livré les conclusions de son rapport lors d’une conférence donnée par son chef de la sécurité Dale Drew qui a affirmé ceci : « Nous pensons que dans le cas de Dyn, l’attaquant relativement peu sophistiqué a cherché à mettre hors ligne un site de jeu avec lequel il avait une rancune personnelle et loué du temps sur le botnet IoT pour y parvenir ».

À la lumière de cette déclaration, il s’avère donc que l’auteur de ces attaques serait un joueur mécontent qui, en désespoir de cause, aurait tenté de se venger contre un site en inondant le réseau de Dyn avec des données transférées à partir d’appareils connectés. Toutefois, bien que Drew n’ait pas mentionné l’entreprise contre laquelle le joueur dirigeait ses attaques, The Wall Street Journal, en se basant sur des sources proches de l’affaire, a confié que le site en question serait PlayStation Network.

Si les informations sont exactes, cela soulève des inquiétudes en sachant qu’une seule personne a pu occasionner autant de dégâts sur la toile. D’un autre côté, vu que les ressources pour mener de telles attaques sont disponibles à profusion sur le dark web pourvu qu’on y mette le prix, cela n’est donc pas très étonnant. Par contre au-delà de ces faits, ce qui parait étonnant, ce sont les motivations de cette personne qui dans ce cas n’a pas hésité à mettre à mal le réseau de tout un groupe d’entreprises juste pour assouvir une rancœur personnelle contre une seule entreprise. Ce que l’on pourra au moins retenir est que cette affaire met en lumière les problèmes de sécurité liés aux nouveaux périphériques connectés sur la toile.

Source : Forbes, Discours de Dale Drew (PDF)

Et vous ?

Que pensez-vous du rapport de Level 3 incriminant un joueur en colère contre un site ?

Voir aussi

En voulant faire une blague à ses amis, il déclenche une attaque DDoS contre des systèmes d'urgence 911 qui a failli mettre l'un d'eux hors ligne

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
Avatar de Oscar.STEFANINI Oscar.STEFANINI - Membre régulier https://www.developpez.com
le 18/11/2016 à 10:48
Pas besoin d'aller sur le Dark Web... le code source est écrit en C et est dispo sur internet (standard)
Avatar de SkyZoThreaD SkyZoThreaD - Membre expérimenté https://www.developpez.com
le 18/11/2016 à 12:31
Citation Envoyé par Olivier Famien Voir le message
Que pensez-vous du rapport de Level 3 incriminant un joueur en colère contre un site ?
Que c'est faux
Quand on voit des puissants hackers se faire gauler malgré les précautions qu'ils prennent, je vois mal un noob acheter un exploit 0day sur le darkweb, lancer une attaque massive ayant des conséquences rarement observées et rester insoupçonné pendant des semaines... Reste à savoir pourquoi raconter des telles sottises.
Contacter le responsable de la rubrique Accueil