Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux/IRCTelnet, un nouveau malware pour succéder à Mirai
Et qui pourrait avoir infecté environ 3500 appareils connectés en cinq jours

Le , par Michael Guilloux

23PARTAGES

5  0 
La récente vague d’attaques DDoS lancées contre les services du fournisseur DNS Dyn a montré que les objets connectés peuvent être utilisés pour mettre en mal le réseau internet mondial. Avec la prolifération de ces dispositifs connectés, c’est une armée potentielle de bots qui se déploie sur la toile. Et depuis que le code source de Mirai a été rendu public, il semble que les pirates ont tout ce qu’il faut pour lancer des attaques DDoS de grande ampleur.

Sur le site Malware Must Die, des chercheurs en sécurité ont publié un rapport sur un nouveau malware capable de créer des botnets d’objets connectés en s’attaquant aux périphériques IoT (routeurs, systèmes d'éclairage intelligents, caméras de surveillance, etc.) qui utilisent des informations d'identification par défaut ou codées en dur. Pour être plus sophistiqué, ce nouveau malware exploite les codes source de différents autres botnets IoT.

Baptisé Linux/IRCTelnet, le nouveau malware est d’abord basé sur le code source du botnet Aidra. Aidra est l’un des premiers botnets d’objets connectés connus qui, dans le passé, a infecté des périphériques connectés à Internet, y compris des systèmes embarqués, pour effectuer des attaques DDoS. Linux/IRCTelnet utilise également la fonction de scanner Telnet d'un autre bot d’objets connectés connu sous le nom de Bashlight. Et pour détourner les appareils connectés à internet, il utilise les combinaisons de mots de passe et nom utilisateur fournies dans le code source de Mirai, le malware qui a été utilisé dans l’attaque contre Dyn.

« Le malware (le client bot) est conçu pour viser le périphérique IoT via le protocole Telnet », indiquent les chercheurs. Ils affirment également que le botnet utilise différents mécanismes d’attaques comme les inondations UDP (User Datagram Protocol) qui consistent à envoyer un grand nombre de paquets UDP depuis des adresses source usurpées à des ports aléatoires sur un hôte ciblé. Il peut employer bien d’autres méthodes d'attaque, à la fois à travers les protocoles IPv4 et IPv6.

D’après les chercheurs, il pourrait avoir infecté 3500 appareils connectés en seulement 5 jours. Il faut toutefois noter que comme la plupart des bots IoT, Linux/IRCTelnet n'est pas persistant. En d’autres termes, un simple redémarrage pourrait permettre d’effacer le malware sur les appareils infectés. Mais, c’est une solution éphémère puisqu’ils pourront être infectés à nouveau. En effet, une fois qu'un périphérique est infecté, son adresse IP est stockée afin que l’attaquant puisse le réinfecter s'il perd le contact avec le canal de commande et de contrôle. Il faudrait donc prendre des mesures plus efficaces qu’un simple redémarrage, en commençant par exemple par un changement des identifiants de connexion.

Linux/IRCTelnet pourrait être le début d’une nouvelle génération de malwares qui pourraient transformer l’internet des objets en internet des menaces, surtout avec la prolifération des appareils connectés à internet qui par défaut sont sans défense contre ces menaces.

Source : Malware Must Die

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation http, première piste de défense active
Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut
Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 18/11/2016 à 14:44
Ils n'ont pas parlé de noob, mais de joueur mécontent.
Déjà il a su ou louer le temps de bot et comment. Ce qui n''est pas rien.
2  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 02/11/2016 à 19:43
C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 08/11/2016 à 12:03
L'article de Brian Krebs sur l'attaque sur le Liberia est très intéressante : https://krebsonsecurity.com/2016/11/...beria-offline/

Pour ceux qui ont la flemme de lire :

“Neither @dynresearch nor @akamai_soti have data supporting the assertion that Liberia suffered a national outage,” tweeted Dyn’s Doug Madory.
To recap: Did a Mirai botnet attack an infrastructure provider in Liberia? No question. Is the IoT problem bad enough that we have to worry about entire countries being knocked offline? Quite possibly. Was there an outage that knocked the country of Liberia offline this week? I have yet to see the evidence to support that claim.
1  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 18/11/2016 à 12:31
Citation Envoyé par Olivier Famien Voir le message
Que pensez-vous du rapport de Level 3 incriminant un joueur en colère contre un site ;?
Que c'est faux
Quand on voit des puissants hackers se faire gauler malgré les précautions qu'ils prennent, je vois mal un noob acheter un exploit 0day sur le darkweb, lancer une attaque massive ayant des conséquences rarement observées et rester insoupçonné pendant des semaines... Reste à savoir pourquoi raconter des telles sottises.
2  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 22/11/2016 à 17:31
Il y a rien de tel que de racheter une entreprise qui vient de chuter en bourse suite à une mésaventure, n'est-ce pas ?
1  0 
Avatar de joublie
Membre confirmé https://www.developpez.com
Le 30/11/2016 à 2:47
Même s'il y a des sujets plus importants, celui de la cyber sécurité devrait être traité par tous les candidats majeurs de la campagne pour l'éléction présidentielle tant la multiplication des actes de piratage devient inquiétante pour le fonctionnement de l'économie et la confidentialité des données personnelles ou professionnelles. Avec l'extension de l'internet des objets ça va encore empirer... J'ai peut-être manqué des déclarations de certains candidats (ou ex-candidats, déjà éliminés à droite) mais il me semble qu'il ne se dit pas grand-chose là-dessus au plan politique.
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 30/11/2016 à 7:22
@joublie si c'est pour encore nous sortir des conneries cela n'est pas la peine !
Le jour ou ils ne feront plus de sensationnalisme mais des "constats" réalistes on en reparleras
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 15/03/2017 à 15:18
Intéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.
1  0 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 15/03/2017 à 15:50
Citation Envoyé par hotcryx Voir le message
Intéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.
Le vrai moyen de le ralentir, ce serait déjà que les gens arrêtent de cliquer sur n'importe quel lien et ne laisse pas les mots de passe par défaut. La faute aussi aux fabricants qui n'obligent pas toujours l'utilisateur à le faire lors de l'installation de leur appareil connecté.
1  0 
Avatar de Kirisute Gomen
Membre à l'essai https://www.developpez.com
Le 03/11/2016 à 13:07
Citation Envoyé par Iradrille Voir le message
C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.
C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent )
Dommage que les médias grand-public n'en parlent pas vraiment...
0  0