Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Malware Mirai : encore 500 000 appareils contaminés, la relève arrive déjà

Rien ne se fera par magie
Internet 3 min
Malware Mirai : encore 500 000 appareils contaminés, la relève arrive déjà
Crédits : Hailshadow/iStock

Le malware Mirai n’est pas mort, loin de là. Selon la société Arbor Networks, il contamine toujours des centaines de milliers d’objets connectés. Des variantes améliorées ont même fait surface, bâties sur un code source qui avait été publié le mois dernier.

Mirai était au cœur des vastes attaques distribuées par déni de service (DDoS) qui ont secoué le web dernièrement, particulièrement contre Dyn. On a pu voir ainsi des dizaines de sites parmi les plus importantes devenir inaccessibles pendant plusieurs heures. Des défenses ont été érigées, des analyses ont été faites et des rappels de caméras IP ont même été lancés, mais Mirai est toujours là.

Encore un demi-million d'appareils contaminés par Mirai

Selon la société Arbor Networks, 500 000 objets connectés sont toujours activement contrôlés par Mirai. Un chiffre obtenu avec ses propres outils de mesure. Tous ces appareils communiquent la plupart du temps via les ports TCP 23 et 2323 pour des appels Telnet. L’idée est bien sûr de pouvoir tester une communication avec un firmware intégrant un mot de passe n’ayant pas été changé. On rappellera que dans certains cas, ces identifiants sont inscrits en dur et ne peuvent même pas être modifiés.

Toujours selon Arbor, de fortes « concentrations de nœuds Mirai » sont présentes en Chine, à Hong-Kong, à Macao, au Vietnam, à Taïwan, en Corée du Sud, en Thailande, en Indonésie, au Brésil et en Espagne. Ces « lots » ne se désagrègent pas, la société expliquant que les centaines de milliers d’appareils forment des botnets qui scannent Internet à la recherche de victimes. En d’autres termes, si un appareil est redémarré, il est à nouveau capturé en moins de dix minutes.

Des variantes déjà détectées

Or, ces chiffres ne concernent que la menace Mirai initiale, dont le code source a été publié à la fin du mois dernier. Depuis, cette « libération » a eu les effets redoutés : des groupes de pirates s’en sont emparés et ont commencé à travailler sur ce socle. Résultat, des variantes de Mirai sont déjà apparues, et elles ne possèdent pas forcément les faiblesses du modèle original.

Arbor indique que ces menaces sont aussi réelles que la première version de Mirai. Il a d’ailleurs repéré au moins une variante active du malware, identifiée à cause des similitudes dans les méthodes d’attaque DDoS, mais avec des capacités « altérées ».

Les entreprises doivent surveiller le trafic de leur réseau

La société confirme évidemment ce que l’on savait déjà : tant que les entreprises possédant les appareils touchés ne font rien, il sera difficile de remédier à la situation. Elles doivent mettre en place une surveillance pour détecter l’éventuelle présence du malware dans leur infrastructure, notamment en surveillant l’activité sur les ports TCP 23 et 2323. Idéalement, elles doivent isoler les appareils concernés et contacter le fabricant.

Il existe également des solutions plus radicales, comme introduire des limitations pour les communications sur ces deux ports. Arbor indique que ce type de manipulation n’est pas adapté à tous les cas et que chaque entreprise devra mesurer le ratio avantages-inconvénients.

Une industrie en attente de sursaut

Le cas de Mirai, qui est probablement loin d’être terminé, est suffisamment « violent » pour espérer un sursaut de l’industrie concernée. De nombreuses sociétés de sécurité prédisent depuis longtemps que les objets connectés ne peuvent que finir contaminés par des malwares si la sécurité n’est pas prise au sérieux.

Beaucoup pensaient que les capacités limitées de ces appareils interdiraient de fait une prise de contrôle, mais ces objets ont parfois de véritables systèmes d’exploitation, souvent basés sur Linux. Et le problème n’est pas tant qu’un système ou un autre soit choisi, mais bien l’absence de mise à jour, soit parce qu’elles ne sont pas proposées par le constructeur, soit parce que l’entreprise cliente ne les installe pas. Il reste donc encore du chemin à parcourir pour que l’industrie réagisse, comme les éditeurs de logiciels avant eux.

45 commentaires
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 28/10/16 à 14:06:33

mon p'tit doigt me dit qu'on est loin d'en avoir fini, en effet :craint:

(sinon, marrant comme chaque fois que je lis le nom Mirai, j'entends l'intro de Judge Dredd* "le fûtûûûr...")

*je crois que c'est Judge Dredd**
** le vrai, celui avec Stallone

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 28/10/16 à 14:08:40

WereWindle a écrit :

mon p'tit doigt me dit qu'on est loin d'en avoir fini, en effet :craint:

(sinon, marrant comme chaque fois que je lis le nom Mirai, j'entends l'intro de Judge Dredd* "le fûtûûûr...")

*je crois que c'est Judge Dredd**
** le vrai, celui avec Stallone

Moi ca me fait penser à Mirai Nikki :transpi:
Un anime au moins aussi dérangeant que cette attaque massive...

Avatar de Elfoune INpactien
Avatar de ElfouneElfoune- 28/10/16 à 14:10:52

CryoGen a écrit :

Moi ca me fait penser à Mirai Nikki :transpi:
Un anime au moins aussi dérangeant que cette attaque massive...

Très bon anime en passant :D

Avatar de eglyn Abonné
Avatar de eglyneglyn- 28/10/16 à 14:12:21

Tous ces appareils communiquent la plupart du temps via les ports TCP 23 et 2323 pour des appels Telnet
Les ports 23 et 2323  sont rarement ouverts vers ces périphériques non? je vois pas trop comment le botnet attaque ces appareils.

Édité par eglyn le 28/10/2016 à 14:15
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 28/10/16 à 14:14:58

eglyn a écrit :

Les ports 23 et 2323 même sur les box sont rarement ouverts par défaut, je vois pas trop comment le botnet attaque ces appareils.

En dehors de la France les box sont pas si répandues

Avatar de metaphore54 INpactien
Avatar de metaphore54metaphore54- 28/10/16 à 14:15:06

Pour une fois windows n'est pas touché. Quel logiciel gratuit je peut utiliser pour faire du monitoring du réseau ?

Avatar de GSTAR INpactien
Avatar de GSTARGSTAR- 28/10/16 à 14:15:52

Beaucoup de routeurs dans le monde ont l'UPnP activé par défaut... donc cela ouvre les ports tout seul sur internet ;-)

Avatar de eglyn Abonné
Avatar de eglyneglyn- 28/10/16 à 14:19:39

metaphore54 a écrit :

Pour une fois windows n'est pas touché. Quel logiciel gratuit je peut utiliser pour faire du monitoring du réseau ?

Wireshark avec du port mirroring pour tout choper, mais ça va te faire de la lecture :transpi:

Avatar de DCmalcolm Abonné
Avatar de DCmalcolmDCmalcolm- 28/10/16 à 14:20:56

Comme bien souvent, par la présence de postes vérolés à l'intérieur même du réseau faisant office de passerelle, du fait d'utilisateur non précautionneux.
Souvent on ne comprends pas comment on  peut être touché par telle ou telle faille parce qu'on est derrière son firewall ou son nat, mais les personnes faisant ce type d'agissement ne sont pas juste équipé de leur variante du botnet X ou Y.
Ils utilisent outils complémentaires pour la propagations, multiples et que l'on peut assez facilement "louer" à d'autres.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 28/10/16 à 14:21:01

metaphore54 a écrit :

Pour une fois windows n'est pas touché. Quel logiciel gratuit je peut utiliser pour faire du monitoring du réseau ?

BoiteNoire by Valls v0.1

Il n'est plus possible de commenter cette actualité.
Page 1 / 5