Mirai : une variante s’attaque aux routeurs, 900 000 clients Deutsche Telekom touchés

Les objets connectés sont loin d’en avoir terminé avec le malware Mirai. La publication du code source a provoqué l’apparition de plusieurs variantes, et près d’un million de routeurs Deutsche Telekom ont été touchés, provoquant de sérieux disfonctionnements.

L’objectif de Mirai est de s’infiltrer dans les objets connectés pour créer des botnets. La première version a essentiellement visé des caméras connectées, mais la publication début octobre du code source faisait craindre une multiplication des attaques. À la fin du mois, nous indiquions que 500 000 appareils étaient toujours contaminés et que des signes évidents pointaient vers l’arrivée de variantes adaptées à d’autres situations.

900 000 clients touchés chez Deutsche Telekom

Depuis environ 48 heures, de nombreux clients ADSL en Allemagne se plaignent de problèmes avec leurs routeurs. Les symptômes sont un ralentissement très significatif de la connexion, entrainant des coupures de services pour la téléphonie et la télévision notamment. Rapidement, la piste d’une attaque est apparue, Mirai semblant alors le mieux placé. Entre temps, Deutsche Telekom a confirmé que 900 000 de ses clients avaient souffert de coupures sur les seules journées de dimanche et lundi.

Du propre aveu de Deutsche Telekom, entre 4 et 5 % de ses clients ont été touchés, le fournisseur d’accès en comptant 20 millions. Il indique sur sa page Facebook que l’attaque a bien tenté d’infecter les routeurs mais n’y est pas parvenue. Pourquoi ? Parce que le malware n’avait pas les droits nécessaires pour s’écrire dans l’unité de stockage des routeurs. La faille lui permettait simplement de passer et d’aller résider en mémoire vive. Conséquence, un redémarrage de l’équipement permettait à la situation de rentrer dans l’ordre.

Un mode opératoire très similaire pour l'exploitation

Comme l’indique notamment Kaspersky, un trafic suspect a été détecté sur le port TCP 7547, utilisé le plus souvent pour la spécification TR-064. Cette dernière décrit un mécanisme de configuration à distance des équipements DSL. Or, une porte ouverte pour une action distante, c’est précisément ce qui a fait le « succès » de Mirai, les constructeurs laissant disponible de tels canaux pour simplifier l’administration.

Le malware, qui présentait les contours d’une variante de Mirai, s’est attaqué à une vulnérabilité exploitable à distance dans les routeurs Zyxel, chez qui Deutsche Telekom se fournit. Comme l’explique le SANS Technology Institute, Mirai cible ces appareils de la même manière qu’il visait les caméras connectées, en adaptant simplement sa méthode. Il cherche ainsi un service SOAP (Simple Object Access Protocol) pour y exploiter une faille.

Un type d'attaque auquel on pouvait s'attendre

Pour Johannes Ullrich, chercheur au SANS Technology Institute, cette infection n’est clairement pas à minimiser. La mise en place d’un serveur « pot de miel » pour attirer l’infection a permis de se rendre compte de la virulence de l’attaque, presque 100 000 adresses IP uniques ayant été relevées. Les tentatives d’exécution de code parvenaient au serveur toutes les 5 à 10 minutes pour chaque adresse IP.

Les quelques sociétés de sécurité qui se sont penchées sur le sujet sont actuellement toutes d’accord : il s’agit bien d’une variante de Mirai, tant pour le code binaire que pour l’infrastructure de contrôle. Certains donnent quand même quelques informations supplémentaires, notamment BadCyber, qui relève que l’utilisation des commandes TR-064 a été détectée pour la première fois début novembre.

Point intéressant, un module adapté à ces commandes est apparu dans Metasploit (kit d’exploitation) quelques jours plus tard. On pouvait donc prévoir qu’une attaque de ce type finirait par avoir lieu. Pour BadCyber, cela revient à dire que « quelqu’un a décidé d’en faire une arme et de créer un ver Internet basé sur le code de Mirai ».

Et maintenant ?

Du côté de Deutsche Telekom, on indique que la situation rentre dans l’ordre et que le nombre d’appareils touchés est clairement en chute. Le fournisseur d’accès indique avoir pris des mesures, sans que l’on sache vraiment lesquelles. Visiblement, le mot d’ordre a été diffusé auprès des clients concernés pour qu’ils redémarrent leur routeur si les symptômes se manifestaient. Pour autant, il ne faut pas considérer le phénomène Mirai comme terminé, loin de là. 

Les opportunités pour les pirates sont tout simplement trop nombreuses pour qu’ils s’en tiennent là. De très nombreux constructeurs ont lancé des produits connectés sans vraiment se préoccuper de la sécurité, ou plus simplement en ne la travaillant pas pour résister à ce type d’attaque. Beaucoup ne peuvent même pas être mis à jour, et ceux qui le peuvent utilisent parfois un mécanisme qui peut être retourné contre eux pour les infecter.

En outre, la libération du code source de Mirai et ses reconstructions autour d’exploitations de failles peuvent en faire une arme efficace dès que des vulnérabilités apparaissent sur certains produits connectés. Il faut donc s’attendre à d’autres vagues d’attaques, la réaction des entreprises concernées étant alors primordiale.

Par ailleurs, il n’est pas nécessaire que Mirai et ses variantes gardent le contrôle pendant plusieurs jours pour faire des dégâts. On rappellera ainsi l’énorme attaque coordonnée contre Dyn, entrainant la coupure de très nombreux sites web, dont quelques dizaines parmi les plus fréquentés, comme Airbnb, Twitter, GitHub, Reddit et autres. Il ne semble pas actuellement y avoir eu de telles conséquences avec l’attaque des routeurs Deutsche Telekom, mais ce pourrait être le cas de la prochaine.