Deutsche Telekom n'est pas la seule victime de la dernière variante de Mirai
Le malware aurait attaqué des routeurs dans au moins dix pays

Le , par Malick, Community Manager
Selon un communiqué de Flashpoint, l'opérateur de téléphonie mobile Deutsche Telekom n'est pas la seule victime de la dernière variante de Mirai. En effet, le malware aurait également attaqué plusieurs routeurs dans au moins une dizaine de pays.


Rappelons que la dernière version de la souche de Mirai a mis hors service de nombreux routeurs de la société Deutsche Telekom. Cette situation a occasionné un important dysfonctionnement du réseau internet avec environ un million de clients touchés. Suite à cet incident, un chercheur en sécurité de l'Institut de technologie SANS a fait savoir que la mise à jour de Mirai a été faite pour exploiter une vulnérabilité dans les routeurs internet de Deutsche Telekom conçus par la société Zyxel. Le chercheur soutient également que la dernière version du malware cherche d'éventuelles failles dans le SOAP (Simple Object Access Protocol) des routeurs. Il s'agit d'un service que la société Zyxel intègre dans les routeurs qu'elle fabrique.

Dans son analyse, le chercheur conclut qu'il est fort probable que des routeurs infectés soient actuellement utilisés par d'autres sociétés ou fournisseurs de services internet. Cette hypothèse vient d'être confirmée par Flashpoint.

Dans son annonce, Flashpoint confirme avec insistance la présence de routeurs infectés dans au moins dix autres pays notamment le Royaume-Uni, le Brésil, la Turquie, l'Iran, le Chili, l'Irlande, la Thaïlande, l'Australie, l'Argentine, l'Italie, en plus de l'Allemagne. Cela, en dépit des rapports initialement émis mentionnant que les infections ne concernent que les routeurs de Deutsche Telekom.

Flashpoint affirme encore avoir établi un lien entre le nouveau Mirai et une attaque par déni de service (DDoS) récemment lancée sur une adresse IP localisée en Afrique. Le nombre d'appareils infectés par cette nouvelle variante de Mirai est actuellement inconnu. Cependant, selon certaines estimations, le nombre de routeurs vulnérables s'élève à environ 5 millions, ce qui, selon Flashpoint, est plus que suffisant pour former un puissant botnet. « Si même une fraction de ces dispositifs vulnérables étaient compromis, ils ajouteraient une puissance considérable à un botnet existant », a déclaré Flashpoint.

Source : FLASHPOINT - SANS ISC

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 14/03/2017 à 21:18
Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité,
tandis que de nombreux zombies sont désactivés, d'autres prennent leur place

Les efforts pour arrêter Mirai, le logiciel malveillant qui crée des réseaux de zombies en infectant des milliers d’appareils connectés (IdO), sont devenus comparables au jeu de la taupe (jeu d'arcade dont le but est de taper à l'aide d'un marteau sur des taupes en plastique qui sortent des trous de la console de jeu). À ce propos, à la question de savoir quelle entité fait plus de progrès que l’autre, notamment les pirates et la communauté des chercheurs en sécurité, les opinions divergent.

Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Fin septembre, sur le forum spécialisé Hackforum, un individu qui s’est présenté comme étant l’utilisateur Anna-sempai a expliqué avoir publié le code source de Mirai en réponse à une surveillance accrue de l’industrie de la sécurité. « Quand je me suis lancé dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps », a commencé Anna-sempai. « J’ai fait de l’argent. Il y a beaucoup d’yeux rivés sur l’internet des objets désormais, alors il est temps de se casser », a-t-il continué.

Depuis lors, Mirai ainsi que ses variantes ont été identifiés dans des attaques à portées différentes comme celles qui ont attaqué des routeurs dans une dizaine de pays, y compris des routeurs de la Deutsche Telekom (opération qui a affecté 900 000 de ses clients). En octobre, l’accès à de nombreux sites populaires américains a été perturbé pendant des heures suite à une attaque de Mirai lancée contre Dyn, un fournisseur américain de service DNS.

Toutefois, le mois dernier, la police a arrêté un potentiel hacker suspecté d’être derrière de multiples attaques lancées par Mirai. En outre, Level 3 Communications, la société américaine spécialisée dans les télécommunications et informations, a déclaré avoir fait une percée dans l’arrêt du malware Mirai. Si des traces du logiciel ont été trouvées sur une fourchette comprise entre 500 000 et 600 000 dispositifs connectés, la plupart d’entre eux ne sont plus sous le contrôle des pirates, a déclaré le chef de la sécurité de niveau 3 Dale Drew. La raison ? Les FAI bloquent l’accès à internet aux serveurs utilisés par les pirates pour contrôler les périphériques infectés par Mirai.

« Nous avions déjà récemment fermé les serveurs de C&C Mirai mensuellement, puis une fois par semaine », a déclaré Drew. « Désormais, nous les fermons toutes les quatre heures ».

Bien que cette opération n’a plus laissé que 97 000 périphériques infectés par Mirai sur Internet qui peuvent être contrôlés par des parties malveillantes, Level 3 a précisé que cela ne signifie pas que le logiciel malveillant n'est plus une menace. En effet, pour agrandir le réseau de zombies, les pirates modifient le code source de Mirai. Lundi, le spécialiste en sécurité Malware Must Die a déclaré avoir découvert des preuves que des pirates informatiques chinois adaptaient Mirai pour infecter un lot de produits IdO, dans ce cas précis auprès d'un fournisseur taiwanais.

« Cela pourrait avoir un impact énorme », a expliqué le spécialiste dans un Tweet. « Les pirates chinois qui utilisaient des logiciels malveillants DDoS Linux commencent à adapter le code source Mirai ».

Les pirates chinois semblent avoir modifié le code pour exploiter une vulnérabilité connue dans les produits d'Avtech, un fabricant de numériscope et de caméras Internet. La nouvelle souche de Mirai profite d'un bogue de script web dans les produits, les incitant à visiter une URL qui télécharge les logiciels malveillants des pirates. D’après Malware Must Die, environ 160 000 appareils sur Internet peuvent être vulnérables à l'attaque. Un chercheur en sécurité a communiqué avec Avtech au sujet du problème. Pour le moment, aucune information n’a filtré quant à la disponibilité d’un correctif.

Source : blog Malware Must Die, la police arrête un suspect
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 15/03/2017 à 15:18
Intéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.
Avatar de nirgal76 nirgal76 - Membre chevronné https://www.developpez.com
le 15/03/2017 à 15:50
Citation Envoyé par hotcryx Voir le message
Intéressant
Si le code change et donne naissance à des variantes, c'est un combat sans fin et exponentiel.
Imaginez une maladie qui mute... Quand ils ont "un vaccin", c'est déjà trop tard, il a muté.
Le seul moyen est de couper le moyen de propagation.
La pendémie est proche.
Le vrai moyen de le ralentir, ce serait déjà que les gens arrêtent de cliquer sur n'importe quel lien et ne laisse pas les mots de passe par défaut. La faute aussi aux fabricants qui n'obligent pas toujours l'utilisateur à le faire lors de l'installation de leur appareil connecté.
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 19/05/2018 à 19:56
Une variante du botnet Mirai embarque trois exploits pour cibler des appareils IdO vulnérables,
au lieu de passer par force brute comme la version originale

En 2016, le botnet Mirai s’est illustré par la violence des attaques DDoS qu’il a généré en s’appuyant sur la puissance de calcul des objets connectés. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Vers la fin de cette même année, un hacker en a publié le code source et la communauté d’experts en sécurité a estimé que cela pouvait représenter un danger potentiellement plus important.

Progressivement sont apparus des variantes de ce botnet, auxquels les hackers rajoutaient toujours plus de fonctionnalités. D’ailleurs, comme l’explique l’équipe de Fortinet, à ce jour de nombreuses variantes existent, probablement parce que le code a été mis à la disposition de tous.

« Certains ont fait des modifications importantes, comme l'ajout de la capacité de transformer des dispositifs infectés en essaims de proxies de logiciels malveillants et de mineur de cryptomonnaie. D'autres ont intégré le code Mirai avec de multiples exploits ciblant des vulnérabilités connues et inconnues, similaires à une nouvelle variante récemment découverte par FortiGuard Labs, que nous avons baptisé WICKED », avance les chercheurs.

Cette variante de Mirai a ajouté à son arsenal d’attaque au moins trois exploits afin de pouvoir cibler les appareils connectés présentant des failles qui n’ont pas été colmatées.


Comme le rappellent les chercheurs, les botnets Mirai contiennent généralement trois modules principaux, notamment Attack, Killer et Scanner. Dans leur analyse, ils se sont concentrés sur le module Scanner qui inclut le mécanisme de diffusion du botnet. Le botnet Mirai d’origine a utilisé des tentatives de force brute traditionnelles pour accéder aux périphériques IdO. Le botnet WICKED, pour sa part, utilise des exploits connus et disponibles, dont beaucoup sont déjà assez anciens.

Les vulnérabilités utilisées par Wicked incluent une injection de commandes Netgear R7000 et R64000 (CVE-2016-6277), une exécution de code à distance CCTV-DVR et un shell Invoker dans des serveurs Web compromis.

Lorsque le botnet réussi à pénétrer dans le système, il va télécharger une charge supplémentaire d’un site Web qui pointe vers Owari, une variante de Mirai. Cependant, durant leur analyse, ils ont noté que les échantillons de bot Owari ne pouvaient plus être trouvés sur le site et qu’à la place Wicked téléchargeait le bot Omni, une autre variante de Mirai. Selon Fortinet, tous ces botnets sont du même auteur.

Les appareils IdO restent des cibles de choix pour les hackers parce qu’ils ont souvent des failles dans leurs sécurité (mot de passe par défaut - l’utilisateur n’est souvent pas obligé de le changer dès l’utilisation -, compte administrateur codé en dur, etc.). Afin d'éviter d'être victime de piratages de leurs objets connectés à internet, les utilisateurs doivent régulièrement télécharger les mises à jour de leurs périphériques lorsque celles-ci sont disponibles. Il faut également veiller à changer les identifiants fournis par défaut dès la première utilisation.

Source : Fortinet

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Perspectives cybercécurité 2018 : Fortinet prévient contre les botnets intelligents, des « swarms » dotés de capacités d'auto-apprentissage
Un développeur, qui a loué un botnet pour payer ses frais de scolarité, parvient à éviter la prison et obtient deux ans de probation
Une nouvelle vague d'attaques de botnets d'IdO plus dévastateurs que Mirai se prépare, d'après des chercheurs qui invitent à prendre des précautions
Des appareils Raspberry Pi détournés par un malware Linux pour le minage de cryptomonnaie, les appareils sont ajoutés à un botnet
Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac, il sert de porte dérobée et dispose de plusieurs modules

 
Contacter le responsable de la rubrique Accueil