Une variante du malware Mirai met hors service des routeurs de Deutsche Telekom
Environ 900 000 clients de l'opérateur allemand ont été affectés
Le 2016-11-29 21:43:17, par Malick, Community Manager
Une nouvelle version du malware Mirai aurait mis hors service plusieurs routeurs de la société Deutsche Telekom. Selon l'opérateur de téléphonie allemand, la propagation de la nouvelle souche de Mirai aurait occasionné un dysfonctionnement du réseau internet avec près d'un million de clients touchés.
Pour rappel, Mirai est un malware qui infecte les objets connectés afin de lancer des attaques par déni de service (DDoS). En ce qui concerne son mode d'opération, Mirai procède à une analyse continue d'internet à la recherche de systèmes connectés protégés par les identifiants par défaut ou codés en dur. Une fois identifiés, ces dispositifs sont attaqués par le logiciel qui les transforme en bots, favorisant ainsi leur communication avec un serveur de contrôle central qui peut être utilisé comme point de départ pour lancer de puissantes attaques DDoS. Ce sont ces attaques qui vont ensuite paralyser un site.
Johannes Ullrich, un chercheur en sécurité à l'Institut de technologie SANS, affirme que Mirai a été mis à jour pour exploiter une vulnérabilité au sein des routeurs internet de Deutsche Telekom conçus par la société Zyxel. Ullrich affirme que cette nouvelle souche vise en sus une faille dans le SOAP (Simple Object Access Protocol), un service intégré dans les routeurs produits par la société Zyxel. Pour lui, c'est cette nouveauté qui permettrait au malware d'infecter les routeurs.
Le nombre exact d'appareils concernés par cette attaque n'est pas encore connu. Toutefois, selon l'opérateur de téléphonie allemand, la perturbation de son réseau a commencé dans l'après-midi du dimanche dernier. Il précise que 900 000 clients, soit 4,5 % de ses 20 millions d'abonnés, auraient été touchés par des problèmes de connexion.
Dans un courriel, Deutsche Telekom aurait affirmé que « l'attaque a tenté d'infecter les routeurs avec un malware, mais cela s'est soldé par un échec, ce qui a provoqué des accidents ou des restrictions sur 4 à 5 % des routeurs. »
Le chercheur en sécurité Ullrich, dans les conclusions de son analyse, affirme par contre que la nouvelle souche de Mirai a réussi à infecter au moins certains appareils. Pour suivre la propagation du malware, il a établi un serveur Web le lundi conçu pour agir comme un honeypot qui peut attirer l'attaquant.
Ullrich soutient aussi qu'il n'a pas pu identifier d'attaque DDos lancée par le botnet Mirai. Il en conclut que les problèmes de connexion rencontrés par les clients de Deutsche Telekom ont probablement été causés par les appareils qui ont été infectés. Mirai aurait utilisé la puissance des routeurs touchés pour infecter d'autres dispositifs.
Il serait également possible que des routeurs infectés soient actuellement utilisés par d'autres sociétés ou fournisseurs de services internet.
Face à ce problème, Deutsche Telekom a publié un moyen de supprimer l'infection. Une mise à jour logiciel est fournie à tous les clients concernés afin de remédier à l’infection. Ces derniers doivent débrancher les routeurs infectés pendant 30 secondes. Ensuite, ils devront précéder au redémarrage desdits routeurs afin que le patch s’installe automatiquement.
Zyxel, le fabricant des routeurs initialement visés n'a pas encore donné son pont de vue sur la situation.
Source : Reuters - Deutsche Telekom- SANS ISC
Et vous ?
Voir aussi
Pour rappel, Mirai est un malware qui infecte les objets connectés afin de lancer des attaques par déni de service (DDoS). En ce qui concerne son mode d'opération, Mirai procède à une analyse continue d'internet à la recherche de systèmes connectés protégés par les identifiants par défaut ou codés en dur. Une fois identifiés, ces dispositifs sont attaqués par le logiciel qui les transforme en bots, favorisant ainsi leur communication avec un serveur de contrôle central qui peut être utilisé comme point de départ pour lancer de puissantes attaques DDoS. Ce sont ces attaques qui vont ensuite paralyser un site.
Johannes Ullrich, un chercheur en sécurité à l'Institut de technologie SANS, affirme que Mirai a été mis à jour pour exploiter une vulnérabilité au sein des routeurs internet de Deutsche Telekom conçus par la société Zyxel. Ullrich affirme que cette nouvelle souche vise en sus une faille dans le SOAP (Simple Object Access Protocol), un service intégré dans les routeurs produits par la société Zyxel. Pour lui, c'est cette nouveauté qui permettrait au malware d'infecter les routeurs.
Le nombre exact d'appareils concernés par cette attaque n'est pas encore connu. Toutefois, selon l'opérateur de téléphonie allemand, la perturbation de son réseau a commencé dans l'après-midi du dimanche dernier. Il précise que 900 000 clients, soit 4,5 % de ses 20 millions d'abonnés, auraient été touchés par des problèmes de connexion.
Dans un courriel, Deutsche Telekom aurait affirmé que « l'attaque a tenté d'infecter les routeurs avec un malware, mais cela s'est soldé par un échec, ce qui a provoqué des accidents ou des restrictions sur 4 à 5 % des routeurs. »
Le chercheur en sécurité Ullrich, dans les conclusions de son analyse, affirme par contre que la nouvelle souche de Mirai a réussi à infecter au moins certains appareils. Pour suivre la propagation du malware, il a établi un serveur Web le lundi conçu pour agir comme un honeypot qui peut attirer l'attaquant.
Ullrich soutient aussi qu'il n'a pas pu identifier d'attaque DDos lancée par le botnet Mirai. Il en conclut que les problèmes de connexion rencontrés par les clients de Deutsche Telekom ont probablement été causés par les appareils qui ont été infectés. Mirai aurait utilisé la puissance des routeurs touchés pour infecter d'autres dispositifs.
Il serait également possible que des routeurs infectés soient actuellement utilisés par d'autres sociétés ou fournisseurs de services internet.
Face à ce problème, Deutsche Telekom a publié un moyen de supprimer l'infection. Une mise à jour logiciel est fournie à tous les clients concernés afin de remédier à l’infection. Ces derniers doivent débrancher les routeurs infectés pendant 30 secondes. Ensuite, ils devront précéder au redémarrage desdits routeurs afin que le patch s’installe automatiquement.
Zyxel, le fabricant des routeurs initialement visés n'a pas encore donné son pont de vue sur la situation.
Source : Reuters - Deutsche Telekom- SANS ISC
Et vous ?
Voir aussi
-
joublieMembre confirméMême s'il y a des sujets plus importants, celui de la cyber sécurité devrait être traité par tous les candidats majeurs de la campagne pour l'éléction présidentielle tant la multiplication des actes de piratage devient inquiétante pour le fonctionnement de l'économie et la confidentialité des données personnelles ou professionnelles. Avec l'extension de l'internet des objets ça va encore empirer... J'ai peut-être manqué des déclarations de certains candidats (ou ex-candidats, déjà éliminés à droite) mais il me semble qu'il ne se dit pas grand-chose là-dessus au plan politique.le 30/11/2016 à 2:47
-
TiranusKBXExpert confirmé@joublie si c'est pour encore nous sortir des conneries cela n'est pas la peine !
Le jour ou ils ne feront plus de sensationnalisme mais des "constats" réalistes on en reparlerasle 30/11/2016 à 7:22 -
hotcryxMembre extrêmement actifIntéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.le 15/03/2017 à 15:18 -
nirgal76Membre chevronnéLe vrai moyen de le ralentir, ce serait déjà que les gens arrêtent de cliquer sur n'importe quel lien et ne laisse pas les mots de passe par défaut. La faute aussi aux fabricants qui n'obligent pas toujours l'utilisateur à le faire lors de l'installation de leur appareil connecté.le 15/03/2017 à 15:50