Le botnet Mirai a expliqué: Comment les escrocs adolescents et les caméras de vidéosurveillance ont presque fait tomber Internet

Le 12 octobre 2016, une attaque massive par déni de service distribué (DDoS) a rendu une grande partie d’Internet inaccessible sur la côte est des États-Unis. L’attaque, que les autorités craignaient initialement d’être l’œuvre d’un État-nation hostile, était en fait l’œuvre du botnet Mirai.

Cette attaque, qui avait initialement des ambitions beaucoup moins grandes pour faire un peu d’argent aux aficionados de Minecraft, est devenue plus puissante que ses créateurs ne l’avaient jamais imaginé. C’est une histoire de conséquences imprévues et de menaces de sécurité inattendues, et cela en dit long sur notre époque moderne. Mais pour le comprendre, vous avez besoin d’un peu de contexte.

Comment fonctionnent les botnets

Si vous voulez entrer dans les détails, consultez cet abécédaire sur le sujet, mais en un mot, un botnet est une collection d’ordinateurs connectés à Internet, les robots qui sont sous contrôle à distance d’une partie extérieure. Habituellement, ces ordinateurs ont été compromis par un attaquant extérieur qui contrôle certains aspects de leur fonctionnalité à l’insu des propriétaires.

Comme il existe de nombreux bots, les contrôleurs ont essentiellement accès à une sorte de superordinateur piraté qu’ils peuvent utiliser à des fins néfastes, et comme les bots sont répartis sur différentes parties d’Internet, ce superordinateur peut être difficile à arrêter. Le tout premier botnet a été construit en 2001 pour envoyer des spams, et c’est encore une utilisation courante : parce que les messages indésirables sont envoyés depuis tant d’ordinateurs différents, ils sont difficiles à bloquer pour les filtres anti-spam. Une autre utilisation courante et celle que le botnet Mirai a servie est celle de fantassins dans une attaque DDoS, dans laquelle un serveur cible est simplement bombardé de trafic Web jusqu’à ce qu’il soit submergé et mis hors ligne.

Comment faire un botnet

Traditionnellement, les botnets sont créés en compromettant les PC domestiques, qui présentaient souvent un certain nombre de vulnérabilités. Les PC pourraient être capturés soit via des ports réseau non protégés, soit via des chevaux de Troie ou d’autres logiciels malveillants, souvent propagés par le spam, qui ouvriraient des portes dérobées auxquelles les attaquants pourraient accéder. Une fois que le PC est compromis, le contrôleur connu sous le nom de éleveur de robots émet des commandes via IRC ou d’autres outils. Parfois, les commandes proviennent d’un serveur central, mais le plus souvent, les botnets ont maintenant une architecture distribuée qui rend leurs contrôleurs plus difficiles à localiser.

Qu’est-ce qu’un botnet IdO ?

Au fil des ans, les fabricants de PC sont devenus plus avisés pour intégrer la sécurité dans leurs ordinateurs. Mais une autre cible tentante existe pour les constructeurs de botnet : Internet des objets (IoT), un terme générique pour divers gadgets que la plupart des gens ne considèrent pas comme des ordinateurs, mais qui ont toujours une puissance de traitement et une connexion Internet. Ces appareils, allant des routeurs domestiques aux caméras de sécurité en passant par les babyphones, incluent souvent un système Linux intégré et simplifié. De plus, ils n’ont souvent aucune capacité intégrée à être corrigés à distance et se trouvent dans des endroits physiquement éloignés ou inaccessibles.

En 2017, il y avait 8,4 milliard de ces choses là-bas sur Internet, mûres pour la cueillette. Mirai a tiré parti de ces appareils IoT non sécurisés d’une manière simple mais intelligente. Plutôt que d’essayer d’utiliser une magie complexe pour traquer les gadgets IoT, il a analysé de gros blocs d’Internet à la recherche de ports Telnet ouverts, puis a tenté de se connecter à l’aide de 61 combinaisons nom d’utilisateur/mot de passe fréquemment utilisées par défaut pour ces appareils et jamais modifiées. De cette façon, il a pu rassembler une armée de caméras et de routeurs de télévision en circuit fermé compromis, prêts à faire son offre.

Quelle était l’attaque du botnet Mirai ?

Mais revenons un peu en arrière. Qui a construit Mirai et quel était son but ?

Alors qu’une grande partie de l’écosystème des logiciels malveillants émerge du monde souterrain trouble du crime organisé d’Europe de l’Est ou des services de renseignement des États-nations, nous avons en fait des noms et des endroits où aller avec cette attaque particulièrement frappante. Paras Jha, étudiant de premier cycle à Rutgers, s’est intéressé à la manière dont les attaques DDoS pourraient être utilisées à des fins lucratives. Il a lancé une série d’attaques mineures contre ses propres systèmes universitaires, chronométrées pour correspondre à des événements importants comme l’inscription et les mi-sessions, tout en essayant de les convaincre de l’engager pour atténuer ces attaques.

Il était également un grand joueur de Minecraft, et l’une des bizarreries de l’économie de Minecraft est qu’il y a beaucoup d’argent à gagner en hébergeant des serveurs de jeux Minecraft, ce qui conduit à des escarmouches dans lesquelles les hôtes lancent des attaques DDoS contre leurs rivaux, dans l’espoir de mettre leurs serveurs hors ligne et d’attirer leur entreprise.

Mirai était une autre itération d’une série de packages de botnet malveillants développés par Jha et ses amis. Jha, qui aimait l’anime et posté en ligne sous le nom d’Anna-Senpai, l’a nommé Mirai (Japanese for the future, ), d’après la série animée Mirai Nikki, ou futur journal. Il encapsulait quelques techniques intelligentes, y compris la liste des mots de passe codés en dur. Mais, selon les mots d’un agent du FBI qui a enquêté sur les attaques, ces enfants sont super intelligents, mais ils n’ont rien fait de haut niveau, ils ont juste eu une bonne idée.

Mirai DDoS

La première grande vague d’attaques de Mirais est survenue le 19 septembre 2016 et a été utilisée contre l’hébergeur français OVH car, comme il s’est avéré plus tard, OVH hébergeait un outil populaire que les hébergeurs de serveurs Minecraft utilisent pour lutter contre les attaques DDoS. Quelques jours plus tard, Anna-Senpai a mis en ligne le code du botnet Mirai, une technique courante qui donne aux créateurs de logiciels malveillants un déni plausible, car ils savent que les imitateurs utiliseront le code, et les eaux seront confuses quant à savoir qui l’a créé en premier. La grande attaque du 12 octobre a été lancée par quelqu’un d’autre contre Dyn, une société d’infrastructure qui, entre autres, propose des services DNS à de nombreux grands sites Web. Le FBI pense que cette attaque visait finalement les serveurs de jeux Microsoft.

En décembre 2016, Jha et ses associés ont plaidé coupables de crimes liés aux attaques de Mirai. Mais à ce moment-là, le code était dans la nature et était utilisé comme éléments de base pour d’autres contrôleurs de botnet.

Code source du botnet Mirai

Et oui, vous avez bien lu : le code du botnet Mirai a été diffusé dans la nature. Cela signifie que n’importe qui peut l’utiliser pour tenter sa chance en infectant des appareils IoT (dont la plupart ne sont toujours pas protégés) et en lançant des attaques DDoS contre leurs ennemis, ou en vendant ce pouvoir au plus offrant. De nombreux cybercriminels ont fait exactement cela, ou sont en train de peaufiner et d’améliorer le code pour le rendre encore plus difficile à combattre.

Analyse et détection du botnet Mirai

Les bonnes gens d’Imperva Incapsula ont une excellente analyse du code du botnet Mirai. Vous devriez vous y rendre pour une plongée profonde, mais voici quelques-uns des points forts :

  • Mirai peut lancer à la fois des attaques HTTP flood et des attaques au niveau du réseau
  • Il existe certaines plages d’adresses IP que Mirai est câblé pour éviter, y compris celles détenues par GE, Hewlett-Packard et le département américain de la Défense.
  • Lors de l’infection d’un appareil, Mirai recherche autre malware sur cet appareil et l’efface, afin de revendiquer le gadget comme le sien
  • Le code Mirais contient quelques chaînes en langue russe qui, comme nous l’avons appris plus tard, étaient un faux-fuyant quant à ses origines ultimes

Imperva Incapsula dispose également d’un outil qui analysera votre réseau à la recherche de vulnérabilités, en particulier à la recherche d’appareils dont les identifiants et les mots de passe figurent sur la liste Mirais. Étant donné que Mirai se stocke en mémoire, le redémarrage de l’appareil suffit à éliminer toute infection potentielle, bien que les appareils infectés soient généralement réinfectés rapidement. Par conséquent, la recommandation est de changer le mot de passe en quelque chose de plus fort avant de redémarrer si vous avez des appareils vulnérables.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite