Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Deux pirates déclarent avoir mis en place un botnet Mirai de 400 000 machines esclaves
Qu'ils mettent en location pour mener des attaques DDoS

Le , par Olivier Famien

45PARTAGES

4  0 
Depuis la publication du code source de Mirai, les versions de ce malware utilisé pour mener des attaques DDoS ne cessent de progresser sur la toile. Récemment, deux hackers du nom de Popopret et Best buy ont annoncé disposer d’un botnet Mirai de 400 ;000 machines esclaves qu’ils peuvent utiliser pour mener des attaques par déni de service distribuées (DDoS).

Pour ceux qui n’ont pas suivi l’historique de Mirai, il faut savoir que ce logiciel malveillant a été utilisé pour mener plusieurs attaques de grande envergure. D’abord, il y a eu le site du Brian Krebs, journaliste spécialisé dans la sécurité informatique qui a été pris à partie par une attaque DDoS menée avec Mirai. Le site a été inondé par un trafic parasite de 620 Gbit par seconde.

Après Krebs, ce fut le tour de OVH, l’hébergeur français de sites web qui a également connu une attaque DDoS avec des pics de trafic qui ont atteint 1156 Gb/s. Derrière cette attaque, l’on a encore trouvé les traces de Mirai. Enfin, l’on a les vagues d’attaques qu’a connues Dyn, de fournisseur DNS vers la fin du mois d’octobre.

Ce fournisseur d’adresses IP dynamiques a vu son réseau perturbé au point qu’il fût impossible d’accéder à certains sites (PayPal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb) à partir de l’est des États-Unis avec également des répercussions en Europe. Bien que Dyn n’ait pas pu confirmer le trafic de 1 Tb/s annoncé par certains, l’entreprise a au moins confirmé qu’environ 100 ;000 appareils connectés ont été impliqués dans ces attaques. Encore une fois, Mirai a été pointé du doigt.

Face à la prolifération des attaques DDoS menées surtout avec ce malware, deux chercheurs en sécurité baptisés 2sec4u et MalwareTech se sont mis à suivre les botnets basés sur Mirai à travers le compte Twitter @MiraiAttacks et le traqueur de botnets MalwareTech. Après avoir collecté un grand nombre d’informations sur les botnets Mirai, ces derniers déclarent que les botnets qu’ils suivent sont relativement de petite taille. Toutefois, il y a un qui est beaucoup plus grand que les autres. Les chercheurs ont confié au site Bleeping Computer, « ;vous pouvez voir quand ils [les opérateurs de botnet massif] lancent des attaques DDoS parce que le graphique sur mon tracker tombe de plus de la moitié. Ils ont plus de bots que tous les autres botnets Mirai réunis ;».

Les informations des deux pirates Popopret et Best Buy pourraient donc être exactes à en croire les déclarations des deux chercheurs. Ces derniers expliquent que techniquement, les premiers botnets Mirai avaient une limite de 200 ;000 appareils esclaves, car le botnet Mirai d’origine n’était livré qu’avec un support pour lancer des attaques par brute force sur les appareils en ligne via Telnet et avec une liste codée de 60 combinaisons de nom d’utilisateur et de mot de passe. Et quand on se tourne vers le net, on ne référence qu’environ 200 ;000 appareils connectés à internet qui possèdent des ports Telnet ouverts et utilisent l’une des 60 combinaisons de nom d’utilisateur et mot de passe.

Mais après l’ouverture du code source de Mirai, de nouvelles fonctionnalités auraient été ajoutées au malware d’origine afin de le rendre plus virulent. Et ce serait le cas du botnet Mirai mis en avant par les deux pirates. Nous rappelons en outre que ces deux pirates Popopret et Best buy ne sont pas des novices en la matière. Ces derniers ont été déjà cité comme les auteurs de GovRat, un cheval de Troie utilisé pour espionner les infrastructures gouvernementales, avec comme particularitéla capacité de déjouer la vigilance des outils usuels de sécurité tels que les antivirus.

Bleeping Computer, de son côté, ajoute que deux piratent ont démarré sur la toile une campagne publicitaire pour la location d’un botnet Mirai de 400 ;000 machines zombies. Dans le mail mis à sa disposition, les deux pirates déclarent ceci :


  • Location du plus grand botnet Mirai (plus de 400 ;000 appareils) ;;
  • Nous utilisons des exploits 0day pour nous emparer des appareils — non pas seulement Telnet et scanner SSH ;;
  • Des techniques anti atténuation DDoS pour TCP/UDP ;;
  • Nombre de taches limitées — 2 semaines minimum pour la location ;;
  • Plans et limites flexibles ;;
  • Des courtes démonstrations d’attaques gratuites, si nous avons le temps de le montrer ;;


Après avoir reçu le spam, Bleeping est entré en contact avec Popopret un des auteurs du botnet. Ce dernier aurait confié à Bleeping Computer que « ;le prix est déterminé par la quantité de bots (plus de bots, plus d’argent), la durée de l’attaque (plus = plus d’argent) et le temps de recharge (plus longtemps = réduction) ;». De manière pratique, Popopret a fait un petit calcul pour donner une idée du prix pour une attaque. « ;Le prix de 50 ;000 bots avec une durée d’attaque de 3600 secondes (1 heure) et de 5 à 10 minutes de temps de recharge est d’environ 3 à 4 ;000 dollars pour 2 semaines ;». Une fois qu’un accord est trouvé entre le client et les auteurs du botnet, le client reçoit une URL Onion du botnet à partir de laquelle il peut se connecter via Telnet et lancer ses attaques.

En plus des capacités d’exploitation des failles zero day notées sur ce botnet pour enrôler plus de machines zombies, 2sec4u et MalwareTech ont confirmé l’existence d’un botnet sur la toile qui utiliserait des techniques de spoofing (usurpation) d’adresses IP pour déjouer les mesures d’atténuation anti DDoS. Sur le compte Twitter @MiraiAttacks, cet immense bot a été référencé comme « ;Botnet #14 ;». Selon les chercheurs, c’est le même botnet Mirai qui a été utilisé pour mener des attaques contre les fournisseurs de service internet du Liberia. Tout porte donc à croire que ces informations sont avérées.

Face à cela, la première question qui vient donc à l’esprit est de savoir ce que les entreprises peuvent faire pour se prémunir contre des attaques menées avec ce type de malware.

Source : Bleeping Computer, Twitter Mirai Attacks, Malware Tech

Et vous ?

Pensez-vous que les déclarations des deux pirates soient fondées ;?

Que peuvent faire les entreprises pour s’en prémunir ;?

Voir aussi

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne
OVH victime de la plus violente attaque DDoS jamais enregistrée ar un botnet de caméras connectées qui n'étaient pas sécurisées
Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de joublie
Membre confirmé https://www.developpez.com
Le 30/11/2016 à 2:47
Même s'il y a des sujets plus importants, celui de la cyber sécurité devrait être traité par tous les candidats majeurs de la campagne pour l'éléction présidentielle tant la multiplication des actes de piratage devient inquiétante pour le fonctionnement de l'économie et la confidentialité des données personnelles ou professionnelles. Avec l'extension de l'internet des objets ça va encore empirer... J'ai peut-être manqué des déclarations de certains candidats (ou ex-candidats, déjà éliminés à droite) mais il me semble qu'il ne se dit pas grand-chose là-dessus au plan politique.
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 30/11/2016 à 7:22
@joublie si c'est pour encore nous sortir des conneries cela n'est pas la peine !
Le jour ou ils ne feront plus de sensationnalisme mais des "constats" réalistes on en reparleras
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 15/03/2017 à 15:18
Intéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.
1  0 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 15/03/2017 à 15:50
Citation Envoyé par hotcryx Voir le message
Intéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.
Le vrai moyen de le ralentir, ce serait déjà que les gens arrêtent de cliquer sur n'importe quel lien et ne laisse pas les mots de passe par défaut. La faute aussi aux fabricants qui n'obligent pas toujours l'utilisateur à le faire lors de l'installation de leur appareil connecté.
1  0