Mirai : Google fait son retour d’expérience

La conférence Enigma, qui avait lieu à la fin du mois de janvier à San Francisco, a été l’occasion de revenir sur plusieurs grosses actualités de la sécurité. Sur la fin 2016, le paysage a principalement été marqué par les attaques provoquées par Mirai, un type de botnet s’attaquant aux objets connectés. Ce nouveau type de botnet a permis aux attaquants d’envoyer des attaques de type DDoS d’une ampleur jusque là inégalée, notamment dans l’attaque ayant visé le prestataire de service DynDNS en octobre 2016.

Mirai : Google fait son retour d’expérience - 2017 - 2018 

Mais le premier fait d’armes des opérateurs du botnet Mirai fut de viser Krebsonsecurity.com, le site du chercheur en cybersécurité Brian Krebs. Cette première attaque avait à l’époque fait la démonstration de la puissance du botnet Mirai : avec plus de 620 Gbps de trafic malveillant envoyé en direction du site, le chercheur avait été contraint de passer son site offline. Akamai offrait à titre gratuit une protection ddos et un hébergement à Brian Krebs, mais face à l’ampleur de l’attaque, le fournisseur avait été contraint de renoncer.

Le chercheur était néanmoins parvenu à revenir en ligne grâce à une protection offerte par le programme de Google intitulé Project Shield, qui lui avait permis de rester en ligne malgré l’ampleur des attaques. Une décision qui n’avait pas été prise à la légère.

La liberté de la presse, jusqu’à un certain point

« Nous nous sommes demandé ce qu’il se passerait si l’attaque affectait google.com et que nous perdions notre principale source de revenus ? Puis nous avons réalisé que si le botnet disposait de la capacité suffisante pour faire tomber google.com, nous étions déjà en danger. Rien ne les empêchait de nous attaquer à tout moment. Alors nous avons compris que nous n’avions rien à perdre dans cette migration » a résumé Damian Menscher, ingénieur chez Google cité par Ars Technica.

Forts de cette conclusion assez peu rassurante, les ingénieurs du Project Shield ont donc accepté de prendre sous leur protection le blog de Brian Krebs. 14 minutes après son retour en ligne, les attaques ddos qui le visaient avaient repris. Comme pour les premières attaques, celles-ci étaient massives expliquent les ingénieurs de Google : les cybercriminels ont ainsi déversé plus de 130 millions de paquets SYN par seconde lors des premiers attaques, avant de basculer sur un flood de requêtes HTTP s’élevant à 250 000 par seconde.

Les ingénieurs de Google expliquent que les cybercriminels changeaient fréquemment leurs méthodes d’attaques, forçant les équipes à adapter leurs approches afin de « nettoyer » le trafic malveillant et servir au blog les requêtes émanant d’utilisateurs légitimes. La multiplicité des attaques IP à l’origine du trafic malveillant (plus de 175 000) prouvait que le malware utilisé pour l’attaque était un botnet de type Mirai.

Menscher a ainsi noté que la défense d’un « petit » site comme Krebsonsecurity diffère fondamentalement des méthodes qu’il avait jusqu’ici utilisées pour un site massif comme celui de Google. Pour parvenir à maintenir Krebsonsecurity à flot, Google explique avoir eu recours à la fois à l’analyse du trafic afin de trier les requêtes malveillantes, et dans le même temps au cache de Google afin de servir les articles tout en soulageant la charge du serveur d’origine.

Il est également revenu sur la décision d’Akamai, qui a préféré passer la main quand Google a choisi d’encaisser l’attaque. Pour Menscher, la différence est bien évidemment due à la différence d’échelle entre les deux acteurs : « Google dispose d’énormément de services et d’activité. Dans cette configuration, c’est bien plus rentable pour nous que pour eux d’avoir un térabit de bande passante en rab » a résumé l’ingénieur. Pour faire face à des attaques aussi massives, mieux vaut avoir les reins solides comme le rappelait Octave Klaba, fondateur et CTO d’OVH.

L’affaire Anna-Sempai

Ironie du sort, la remise en ligne de ce blog a permis à Brian Krebs de publier l’une de ses enquêtes les plus poussées, portant précisément sur l’auteur du code source de Mirai. Cet utilisateur connu sous le pseudonyme d’Anna Sempai avait fréquenté le site hackforum avant de publier le code source de son malware Mirai peu de temps après les attaques ayant visé OVH et Krebsonsecurity. L’enquête de Krebs se penche ainsi sur les motivations du créateur de Mirai, qui avait débuté sa carrière dans le monde impitoyable des serveurs privés de Minecraft. Selon Brian Krebs, Mirai n’est en effet que « la dernière incarnation d’une famille de malware botnet IoT développé et largement utilisé depuis environ trois ans. »

Mirai : Google fait son retour d’expérience - 2017 - 2018 

Selon Brian Krebs, Anna-Senpai et le malware Mirai tirent leur noms d’un anime japonais, Mirai Nikki

L’enquête est longue et complexe, impliquant de nombreux acteurs du milieu américain des stressers et booters ainsi que les guerres intestines qui agitent ce milieu, mais le travail de Brian Krebs permet pour la première fois de faire la lumière sur la naissance de Mirai. Le journaliste donne également le nom d’un ingénieur qu’il suspecte d’être Anna-Sempai. Aux dernières nouvelles, celui-ci avait été interrogé par le FBI mais il nie tout lien avec le malware.

Source : L’article Mirai : Google fait son retour d’expérience >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Mirai : Google fait son retour d’expérience - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:50+00:00

Laisser un commentaire