Mirai : un malware Windows lui ouvre les portes des réseaux internes

Mirai n’a pas fini de faire des victimes. Le malware voit sa route dégagée par l’apparition d’un troyen pour Windows, qui scanne ensuite le réseau de l’utilisateur pour y détecter des objets connectés sous Linux.

Ce cheval de Troie a pour seule mission de faciliter la mise en place de Mirai. Il a été découvert par la société de sécurité Dr.Web. Nommé sobrement Trojan.Mirai.1, il s’infiltre en prenant une forme a priori anodine (un document Office, un utilitaire…). De là, il va scanner le réseau local de la machine pour y chercher des caméras connectées et autres objets sous Linux, les cibles dont raffole Mirai.

Un cheval de Troie comme relai vers les vraies cibles

Trojan.Mirai.1 se connecte en fait à un serveur C&C (Command and Control) pour recevoir ses instructions ainsi qu’un fichier de configuration contenant une liste d’adresses IP. Le malware va alors tenter de s’y connecter via les ports TCP 22 (SSH), 23 (Telnet), 135, 445, 1433, 3306 et 3389. Si l’une des connexions fonctionne, il analyse le type d’appareil détecté et exécute des commandes contenues elles aussi dans le fichier de configuration.

Si le malware parvient à se connecter à un objet connecté sous Linux via Telnet, il télécharge un fichier binaire contenant Mirai pour l’y installer. Ce dernier comportant ses propres mécanismes de réplication, l’infection peut se poursuivre d’autant plus efficacement. Notez que le troyen dispose lui aussi de telles capacités et va chercher à contaminer d’autres PC sur le même réseau.

Une évolution assez prévisible

Il n’est surprenant de voir apparaître de nouvelles initiatives autour de Mirai. Surtout quand le troyen en question permet d’accéder à des parcs d’objets connectés qui ne sont pas connectés directement à Internet. Il sert alors de passerelle et de relai vers des cibles supplémentaires, qui viendront alimenter les botnets déjà en place.

Rappelons en effet que Mirai est un malware qui s’est fait connaître en créant des parcs de caméras connectées « zombies ». Il table sur la relative absence de sécurité sérieuse sur ces produits, qui ont souvent des mots de passe administrateur inscrits en dur et qui ne sont pas mis à jour. Les concepteurs de Mirai ont donc profité de cette manne, créant ainsi des botnets au pouvoir d’attaque plus que certain, comme l’a prouvé l’exemple de Dyn. Son code source ayant été publié, n'importe qui peut s'en inspirer pour l'améliorer ou l'inclure dans de nouveaux scénarios d'attaque.

Comme nous l’avons déjà signalé à de multiples reprises, Mirai a pu prospérer à cause du manque de considération des constructeurs pour la sécurité et/ou des entreprises qui utilisent ces produits. Tout appareil qui a accès à Internet représente par définition un danger si une faille ou un défaut de sécurité peut y être trouvé. Le client devrait donc toujours faire attention, qu’il soit un particulier ou une entreprise.