Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Mirai : une variante s'attaque aux routeurs, 900 000 clients Deutsche Telekom touchés

Pour une fois, un redémarrage suffit
Internet 4 min
Mirai : une variante s'attaque aux routeurs, 900 000 clients Deutsche Telekom touchés
Crédits : chombosan/iStock

Les objets connectés sont loin d’en avoir terminé avec le malware Mirai. La publication du code source a provoqué l’apparition de plusieurs variantes, et près d’un million de routeurs Deutsche Telekom ont été touchés, provoquant de sérieux disfonctionnements.

L’objectif de Mirai est de s’infiltrer dans les objets connectés pour créer des botnets. La première version a essentiellement visé des caméras connectées, mais la publication début octobre du code source faisait craindre une multiplication des attaques. À la fin du mois, nous indiquions que 500 000 appareils étaient toujours contaminés et que des signes évidents pointaient vers l’arrivée de variantes adaptées à d’autres situations.

900 000 clients touchés chez Deutsche Telekom

Depuis environ 48 heures, de nombreux clients ADSL en Allemagne se plaignent de problèmes avec leurs routeurs. Les symptômes sont un ralentissement très significatif de la connexion, entrainant des coupures de services pour la téléphonie et la télévision notamment. Rapidement, la piste d’une attaque est apparue, Mirai semblant alors le mieux placé. Entre temps, Deutsche Telekom a confirmé que 900 000 de ses clients avaient souffert de coupures sur les seules journées de dimanche et lundi.

Du propre aveu de Deutsche Telekom, entre 4 et 5 % de ses clients ont été touchés, le fournisseur d’accès en comptant 20 millions. Il indique sur sa page Facebook que l’attaque a bien tenté d’infecter les routeurs mais n’y est pas parvenue. Pourquoi ? Parce que le malware n’avait pas les droits nécessaires pour s’écrire dans l’unité de stockage des routeurs. La faille lui permettait simplement de passer et d’aller résider en mémoire vive. Conséquence, un redémarrage de l’équipement permettait à la situation de rentrer dans l’ordre.

Un mode opératoire très similaire pour l'exploitation

Comme l’indique notamment Kaspersky, un trafic suspect a été détecté sur le port TCP 7547, utilisé le plus souvent pour la spécification TR-064. Cette dernière décrit un mécanisme de configuration à distance des équipements DSL. Or, une porte ouverte pour une action distante, c’est précisément ce qui a fait le « succès » de Mirai, les constructeurs laissant disponible de tels canaux pour simplifier l’administration.

Le malware, qui présentait les contours d’une variante de Mirai, s’est attaqué à une vulnérabilité exploitable à distance dans les routeurs Zyxel, chez qui Deutsche Telekom se fournit. Comme l’explique le SANS Technology Institute, Mirai cible ces appareils de la même manière qu’il visait les caméras connectées, en adaptant simplement sa méthode. Il cherche ainsi un service SOAP (Simple Object Access Protocol) pour y exploiter une faille.

Un type d'attaque auquel on pouvait s'attendre

Pour Johannes Ullrich, chercheur au SANS Technology Institute, cette infection n’est clairement pas à minimiser. La mise en place d’un serveur « pot de miel » pour attirer l’infection a permis de se rendre compte de la virulence de l’attaque, presque 100 000 adresses IP uniques ayant été relevées. Les tentatives d’exécution de code parvenaient au serveur toutes les 5 à 10 minutes pour chaque adresse IP.

Les quelques sociétés de sécurité qui se sont penchées sur le sujet sont actuellement toutes d’accord : il s’agit bien d’une variante de Mirai, tant pour le code binaire que pour l’infrastructure de contrôle. Certains donnent quand même quelques informations supplémentaires, notamment BadCyber, qui relève que l’utilisation des commandes TR-064 a été détectée pour la première fois début novembre.

Point intéressant, un module adapté à ces commandes est apparu dans Metasploit (kit d’exploitation) quelques jours plus tard. On pouvait donc prévoir qu’une attaque de ce type finirait par avoir lieu. Pour BadCyber, cela revient à dire que « quelqu’un a décidé d’en faire une arme et de créer un ver Internet basé sur le code de Mirai ».

Et maintenant ?

Du côté de Deutsche Telekom, on indique que la situation rentre dans l’ordre et que le nombre d’appareils touchés est clairement en chute. Le fournisseur d’accès indique avoir pris des mesures, sans que l’on sache vraiment lesquelles. Visiblement, le mot d’ordre a été diffusé auprès des clients concernés pour qu’ils redémarrent leur routeur si les symptômes se manifestaient. Pour autant, il ne faut pas considérer le phénomène Mirai comme terminé, loin de là. 

Les opportunités pour les pirates sont tout simplement trop nombreuses pour qu’ils s’en tiennent là. De très nombreux constructeurs ont lancé des produits connectés sans vraiment se préoccuper de la sécurité, ou plus simplement en ne la travaillant pas pour résister à ce type d’attaque. Beaucoup ne peuvent même pas être mis à jour, et ceux qui le peuvent utilisent parfois un mécanisme qui peut être retourné contre eux pour les infecter.

En outre, la libération du code source de Mirai et ses reconstructions autour d’exploitations de failles peuvent en faire une arme efficace dès que des vulnérabilités apparaissent sur certains produits connectés. Il faut donc s’attendre à d’autres vagues d’attaques, la réaction des entreprises concernées étant alors primordiale.

Par ailleurs, il n’est pas nécessaire que Mirai et ses variantes gardent le contrôle pendant plusieurs jours pour faire des dégâts. On rappellera ainsi l’énorme attaque coordonnée contre Dyn, entrainant la coupure de très nombreux sites web, dont quelques dizaines parmi les plus fréquentés, comme Airbnb, Twitter, GitHub, Reddit et autres. Il ne semble pas actuellement y avoir eu de telles conséquences avec l’attaque des routeurs Deutsche Telekom, mais ce pourrait être le cas de la prochaine.

50 commentaires
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 29/11/16 à 15:24:17

Signaler ce commentaire aux modérateurs :

:popcorn:

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 29/11/16 à 15:25:17

Signaler ce commentaire aux modérateurs :

jackjack2 a écrit :

:popcorn:

ça c'est sur la news ZoneTelechargement

ben ça promet ces machins, surtout de s'attaquer aux routeurs et/ou box..

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 29/11/16 à 15:26:37

Signaler ce commentaire aux modérateurs :

c'est con c’était hier le cyber monday, ça aurait été l'occasion de refourguer 900000 routeurs

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 29/11/16 à 15:33:51

Signaler ce commentaire aux modérateurs :

Les pare-feu existe pour une bonne raison...

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Signaler ce commentaire aux modérateurs :

Eh ben voilà , ca y'est, on y est :
Qui se foutaient de ma poire, sur NXI, quand je disais que les box sont hackées (et pas que chez deutsch t!!) ?

Note : je vous rassure aussi les bleues , en france , on un accès total à vos box et vidéo légales stockées dessus .. je ne m'étalerai par sur le cloud ... je suis fatigué d'expliquer.

Je vais avoir moins de grande gueule (ignorantes) pour me tenir le dragée haute !

je suis juste :

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Signaler ce commentaire aux modérateurs :

.... sérieux ?

t'a l'air de t'y connaitre toi.

Édité par ledufakademy le 29/11/2016 à 15:36
Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Signaler ce commentaire aux modérateurs :

Un des modèles à peu près sérieux (mais tout aussi cassable ) c'est free : le firmware, fut une époque ,était uploadé dans la box (un gnu/linux modifié) ....

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Signaler ce commentaire aux modérateurs :

... au moins eux communiquent ... nos fai français ? ne rêvons pas.

Avatar de XMalek INpactien
Avatar de XMalekXMalek- 29/11/16 à 15:52:57

Signaler ce commentaire aux modérateurs :

Donc ton modem adsl tu le met derrière un autre modem adsl pour avoir un pare feu ? (et oui j'ai le cas mais pas pour ça)

Lis la news, la le modem adsl est attaqué directement avant le parefeu via le service de configuration à distance non désactivable pour y exploiter une faille SOAP.

 Faille non corrigée parce que le firmware des boxs n'est pas maintenu à jour.

 Maintenant on ets en droit de se demander quels sont les failles dans nos boxes actuelles, surtout ceux des "opérateurs historiques".

Parce que quand on sait que tout ça est externalisé et les teams virés après que le projet soit fini j'ai des doutes sur la fiabilité à long terme.

Avatar de wagaf Abonné
Avatar de wagafwagaf- 29/11/16 à 16:02:59

Signaler ce commentaire aux modérateurs :

L'expert en atterrissage de sonde sur Mars est de retour pour tout nous expliquer

Il n'est plus possible de commenter cette actualité.
Page 1 / 5