Le malware Mirai n’est pas mort, loin de là. Selon la société Arbor Networks, il contamine toujours des centaines de milliers d’objets connectés. Des variantes améliorées ont même fait surface, bâties sur un code source qui avait été publié le mois dernier.
Mirai était au cœur des vastes attaques distribuées par déni de service (DDoS) qui ont secoué le web dernièrement, particulièrement contre Dyn. On a pu voir ainsi des dizaines de sites parmi les plus importantes devenir inaccessibles pendant plusieurs heures. Des défenses ont été érigées, des analyses ont été faites et des rappels de caméras IP ont même été lancés, mais Mirai est toujours là.
Encore un demi-million d'appareils contaminés par Mirai
Selon la société Arbor Networks, 500 000 objets connectés sont toujours activement contrôlés par Mirai. Un chiffre obtenu avec ses propres outils de mesure. Tous ces appareils communiquent la plupart du temps via les ports TCP 23 et 2323 pour des appels Telnet. L’idée est bien sûr de pouvoir tester une communication avec un firmware intégrant un mot de passe n’ayant pas été changé. On rappellera que dans certains cas, ces identifiants sont inscrits en dur et ne peuvent même pas être modifiés.
Toujours selon Arbor, de fortes « concentrations de nœuds Mirai » sont présentes en Chine, à Hong-Kong, à Macao, au Vietnam, à Taïwan, en Corée du Sud, en Thailande, en Indonésie, au Brésil et en Espagne. Ces « lots » ne se désagrègent pas, la société expliquant que les centaines de milliers d’appareils forment des botnets qui scannent Internet à la recherche de victimes. En d’autres termes, si un appareil est redémarré, il est à nouveau capturé en moins de dix minutes.
Des variantes déjà détectées
Or, ces chiffres ne concernent que la menace Mirai initiale, dont le code source a été publié à la fin du mois dernier. Depuis, cette « libération » a eu les effets redoutés : des groupes de pirates s’en sont emparés et ont commencé à travailler sur ce socle. Résultat, des variantes de Mirai sont déjà apparues, et elles ne possèdent pas forcément les faiblesses du modèle original.
Arbor indique que ces menaces sont aussi réelles que la première version de Mirai. Il a d’ailleurs repéré au moins une variante active du malware, identifiée à cause des similitudes dans les méthodes d’attaque DDoS, mais avec des capacités « altérées ».
Les entreprises doivent surveiller le trafic de leur réseau
La société confirme évidemment ce que l’on savait déjà : tant que les entreprises possédant les appareils touchés ne font rien, il sera difficile de remédier à la situation. Elles doivent mettre en place une surveillance pour détecter l’éventuelle présence du malware dans leur infrastructure, notamment en surveillant l’activité sur les ports TCP 23 et 2323. Idéalement, elles doivent isoler les appareils concernés et contacter le fabricant.
Il existe également des solutions plus radicales, comme introduire des limitations pour les communications sur ces deux ports. Arbor indique que ce type de manipulation n’est pas adapté à tous les cas et que chaque entreprise devra mesurer le ratio avantages-inconvénients.
Une industrie en attente de sursaut
Le cas de Mirai, qui est probablement loin d’être terminé, est suffisamment « violent » pour espérer un sursaut de l’industrie concernée. De nombreuses sociétés de sécurité prédisent depuis longtemps que les objets connectés ne peuvent que finir contaminés par des malwares si la sécurité n’est pas prise au sérieux.
Beaucoup pensaient que les capacités limitées de ces appareils interdiraient de fait une prise de contrôle, mais ces objets ont parfois de véritables systèmes d’exploitation, souvent basés sur Linux. Et le problème n’est pas tant qu’un système ou un autre soit choisi, mais bien l’absence de mise à jour, soit parce qu’elles ne sont pas proposées par le constructeur, soit parce que l’entreprise cliente ne les installe pas. Il reste donc encore du chemin à parcourir pour que l’industrie réagisse, comme les éditeurs de logiciels avant eux.