Mirai : itinéraire d'un botnet de l'IoT né des guerres Minecraft

Sécurité : À l’occasion de la conférence Usenix, un groupe de chercheurs américain s’est penché sur l’évolution de la menace liée au botnet Mirai. Ce botnet d’objets connectés avait été l’instrument utilisé pour lancer plusieurs attaques DDOS majeures dans la fin d’années 2016.

Fin 2016, le botnet Mirai faisait les gros titres. C’est en effet ce botnet d’objets connectés qui avait été utilisé pour s’attaquer au blog de Brian Krebs, ou à la société Dyn qui fournissait à de nombreux sites un service de DNS dynamique. Et si les botnets d’objets connectés n’étaient pas exactement une nouveauté à cette époque, le volume et l’impact des attaques menées par Mirai l’ont rapidement précipité en tête d’affiche durant toute la fin d’année 2016.

Un an après, le soufflé est maintenant un peu retombé et plusieurs chercheurs américains se sont donc penchés sur les données collectées au cours de l’année passée afin d’en tirer les enseignements nécessaires et tordre le cou à quelques informations erronées.

L’Amérique du sud, terreau fertile

Les chercheurs sont ainsi parvenus à identifier les premiers scans menés depuis la version initiale de Mirai au début du mois d’août 2016. Ces premiers scans de l’opérateur du botnet ont permis l’infection de 65.000 machines en l’espace de 20 heures. Un premier palier était franchi, mais Mirai a par la suite continué à grandir, en infectant plus de 200.000 machines au mois de septembre, avant de se stabiliser pour un temps à 600.000 infectées et contrôlées par le botnet au mois d’octobre 2016.

Mirai : itinéraire d'un botnet de l'IoT né des guerres Minecraft Objets connectés, Cybercriminalité, Cyberattaques 

C’est à cette période entre septembre et novembre que les attaques les plus médiatisées sont déclenchées. Le botnet est tout d’abord utilisé pour pousser le blog de Brian Krebs hors ligne, avant de s’en prendre au réseau de l’hébergeur français OVH, puis enfin la société Dyn à la fin du mois d’octobre. Comme le constatent les chercheurs, le nombre total de machines infectées par Mirai semble ensuite avoir chuté drastiquement.

En s’appuyant sur les données issues de leur échantillon d’observation, ils constatent ainsi que le chiffre de machines infectées est retombé à 100.000 en février 2017. Cette réduction est particulièrement sensible dans les pays d’Amérique du Sud et d’Asie du Sud est. Les principaux foyers d’infection de Mirai étaient en effet le Brésil, la Colombie et le Vietnam, trois pays qui comptaient à eux seuls la majeure partie des victimes. Les chercheurs supposent que la soudaine chute des infections recensées dans ces trois pays est liée à des mesures de sécurité prises par les opérateurs télécoms locaux afin d’endiguer le phénomène.

Les chercheurs reviennent aussi sur les nombreuses évolutions de Mirai. Le code source de celui-ci a en effet été publié en open source par son créateur et de nombreux autres acteurs se sont emparés du code afin de le modifier ou de venir ajouter de nouvelles fonctionnalités au code originel. Ces variantes incluent ainsi des listes d’identifiants par défaut différentes, des cibles d’objets connectées allant notamment viser les routeurs et les imprimantes en plus des traditionnels cameras IP, la cible préférée de Mirai. Au total, les chercheurs sont ainsi parvenus à identifier 33 infrastructures de contrôle pour des botnets Mirai, ce qui montre que de nombreux cybercriminels ont tenté de se construire leur propre botnet à partir du code mis en ligne par le créateur.

Retour aux sources

Ces variantes ont également permis de diversifier les méthodes d’attaque. Si la version initiale de Mirai était principalement utilisée pour des attaques DDoS dites volumétriques, visant à saturer le lien réseau de la cible, les chercheurs ont découvert que les options à la disposition des botnets Mirai avaient largement évolué avec 30% d’attaques volumétriques, 40% d’attaques TCP visant à épuiser la mémoire des cibles et enfin 30% d’attaques au niveau applicatif. Autant de variantes montrent que les opérateurs de Mirai ont su renouveler à la fois les machines enrôlées par le botnet, mais aussi les cibles et les méthodes d’attaque de Mirai.

Au total, les chercheurs sont parvenus à identifier plus de 15.000 attaques ayant utilisé Mirai pour mener à bien un DDoS contre une cible. Parmi les objectifs identifiés par les chercheurs, on retrouve les victimes déjà citées plus haut dans l’article, mais d’autres ont également été identifiées. L’opérateur libérien Lonestar Cell est ainsi la victime la plus souvent visée par les attaques de Mirai. On sait aujourd’hui que ces attaques étaient en lien avec l’importante infection de box Deutsche Telekom et le suspect arrêté dans cette affaire soutient avoir été engagé par un opérateur concurrent pour mener ces attaques.

Outre cet opérateur, on retrouve parmi les victimes de nombreux acteurs du monde du jeu vidéo, tels que le Playstation Network ou encore d’importants serveurs Minecraft. Et cela ne surprendra personne. Comme le montrait Brian Krebs dans une longue enquête publiée sur Mirai, ce malware est né dans l’écosystème très particulier des serveurs Minecraft et des guerres acharnées que ceux-ci se livrent pour attirer les joueurs.

Mirai : itinéraire d'un botnet de l'IoT né des guerres Minecraft

Source : L’article << Mirai : itinéraire d'un botnet de l'IoT né des guerres Minecraft >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...

Laisser un commentaire

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des publicités ciblées et réaliser des statistiques de visites. Ok