Level 3 : doublement de la population de Mirai après la fuite du code

Les bots Mirai continuent de recruter des appareils de l’Internet des objets (IdO) à une vitesse qui a atteint un record après la publication du code source du bot.

Les chercheurs de Level 3 Communications ont identifié l’interface de commande de Mirai utilisée pour attaquer les appareils IdO vulnérables et communiquer avec ceux-ci. D’après l’opérateur de téléphonie, le nombre de caméras de vidéosurveillance, d’enregistreurs vidéo et de de périphériques réseau compromis par Mirai a plus que doublé au cours des deux dernières semaines et est passé de 213 000 à 493 000. « En réalité, le nombre de bots pourrait être plus élevé car l’infrastructure découverte ne permet pas d’obtenir une représentation complète de la situation » préviennent les experts.

La majorité des gadgets compromis se trouve aux Etats-Unis, mais le Brésil et la Colombie figurent également dans les premières places du classement des infections. Un phénomène plus inquiétant encore est le nombre d’individus malintentionnés qui tentent d’exploiter les possibilités offertes par ce contingent massif d’appareils connectés à Internet. Ainsi, d’après Level 3, 24 % des hôtes du réseau de zombies Mirai interviennent également dans les attaques de Gafgyt, connu également sous le nom de BASHLITE. D’après les constatations des chercheurs, « un tel chevauchement témoigne du fait qu’un même groupe d’appareils IdO vulnérables est attaqué par les représentants de nombreuses familles de malwares. »

D’après les experts, l’augmentation sensible du nombre d’infections de Mirai s’explique par la publication des codes source, même si cet élément a également permis aux chercheurs d’étudier le comportement du bot. Les résultats de l’analyse ont confirmé que la fonction principale de Mirai est de balayer Internet à la recherche d’appareils connectés et d’organiser des attaques par force brute afin de pouvoir prendre les commandes des appareils protégés par des mots de passe faibles ou par défaut. Une fois compromis, l’appareil est intégré au grand réseau de zombies utilisé pour organiser des attaques DDoS.

« S’il est vrai que la fuite des codes source a en effet facilité la tâche des chercheurs en sécurité de l’information qui ont pu ainsi comprendre le fonctionnement du réseau de zombies, cette fuite a également représenté du pain béni pour les éléments criminels. Ils disposent désormais du code d’un bot totalement opérationnel qui peut être facilement modifié et rapidement mis en circulation, comme nous avons déjà pu nous en rendre compte » explique Dale Drew, directeur du service d’analyse de sécurité de l’information chez Level 3.

Les chercheurs ont identifié plusieurs sites malveillants dans le domaine de premier niveau TLD .cx (îles Christmas) associés au réseau de zombies Mirai. Ces noms de domaines utilisent le préfixe network ou report en fonction du rôle que ce nœud en question joue dans le réseau de zombies. La liste des domaines malveillants identifiés lors de l’étude figure dans le billet publié sur le blog de Level 3.

Dans sa réponse à une question de Threatpost sur l’état actuel des sites malveillants, Dale Drew a déclaré : « Nous essayons d’identifier les victimes de ce réseau de zombies et de leur venir en aide. Nous contactons également les propriétaires des serveurs impliqués dans l’infrastructure de commande afin qu’ils mettent ces serveurs hors ligne et s’ils n’adoptent pas les mesures nécessaires, nous les filtrerons sur la base des adresses IP. »

Le représentant de Level 3 a également souligné la rotation élevée des centres actifs d’administration du réseau de zombies : ils changent en moyenne tous les deux jours. « Ils permutent les centres de commande afin que les personnes qui les étudient ne puissent pas intercepter facilement les communications des bots et des serveurs de commande » a expliqué Dale Drew à Threatpost.

Aux environs du 18 septembre, Level 3 a également réussi à observer des attaques DDoS relativement puissantes contre l’infrastructure de commande de Mirai. Ces attaques auraient été lancées par le groupe qui se trouve derrière Gafgyt/BASHLITE. « Nous ne savons pas s’il s’agissait d’une tentative d’élimination d’un concurrent via une attaque contre l’opération Mirai ou s’il s’agissait d’une tentative de saisie des nœuds compromis par Mirai » a déclaré Dale Drew lors de notre entretien.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *