Botnet Mirai : trois jeunes universitaires américains ont plaidé coupables

Botnet Mirai : trois jeunes universitaires américains ont plaidé coupables

De 5 à 10 ans de prison en perspective

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

14/12/2017 8 minutes
33

Botnet Mirai : trois jeunes universitaires américains ont plaidé coupables

Les auteurs du botnet Mirai étaient trois universitaires américains. Paras Jha, Josiah White et Dalton Norman ont tous trois plaidé coupable vendredi dernier dans un tribunal d’Anchorage, en Alaska. On sait ainsi désormais qu’au départ, le botnet le plus dangereux à ce jour n’était qu’un projet pour s’attaquer… à des serveurs Minecraft.

On se souvient de Mirai : un malware visant spécifiquement les objets connectés pour les contaminer et les contrôler à distance, créant l’un des plus formidables botnets jamais observés. Après une attaque contre OVH remarquée par son extrême brutalité, Mirai est devenu un phénomène mondial après celle contre Dyn, engendrant des problèmes d’accès pour de nombreux sites.

Mais en à peine un peu plus d’un an depuis les premières attaques, les trois principaux auteurs du malware et du botnet ont été arrêtés. Ils ont plaidé coupable des charges de cybercrime qui pesaient contre eux, en vertu de la loi américaine Computer Fraud and Abuse Act. Fait peu commun, particulièrement dans ce type d’affaire, le procès avait lieu dans un tribunal d’Alaska.

Les premiers échos d’un titan

Quand le monde a découvert Mirai, il sévissait déjà depuis un moment. Le FBI finissait de boucler alors, avec l’aide d’autres pays, une enquête sur vDOS, un service payant d’attaques DDoS, donc criminel. Un vrai petit business : conçu pour attaquer les serveurs de jeu, il permettait aux intéressés de payer de petites sommes en vue de s’en prendre à un concurrent pendant un duel par exemple. vDOS était cependant une variante d’un autre botnet, Qbot, apparu en 2014.

Les premiers signes de Mirai ont donc marqué la différence. Le malware était manifestement nouveau. Particulièrement efficace pour repérer les nombreuses catégories d’objets connectés qui pouvaient être infectés, en exploitant des listes d’identifiants fournis par les fabricants et non modifiés par les utilisateurs, ou directement des failles de sécurité, dont certaines 0-day.

Le FBI, en lien avec des entreprises comme Cloudflare, Akamai, Flashpoint, Google et Palo Alto Networks, se rend alors compte que le malware fait bien mieux son « travail » que ses prédécesseurs. Non seulement les différences d’architectures matérielles ne le dérangeaient pas, mais il gérait très bien le cap des 100 000 appareils contaminés. 20 heures après son apparition, selon Wired, 65 000 infections avaient déjà eu lieu, et le nombre doublait toutes les 76 minutes. À son apogée, Mirai contrôlait simultanément 600 000 objets connectés.

Le premier vrai choc a alors lieu : OVH est frappé par une attaque DDoS d’un flux de 1,1 Tb/s, du jamais vu. Devant un tel assaut, l’hébergeur vacille, mais tient bon. Octave Klaba, son fondateur et PDG, publie alors une série de tweets pour avertir du danger.

L’évolution par la compétition

L’attaque contre l’hébergeur français a été le premier signe tangible de l’existence de Mirai pour beaucoup, mais c’est celle contre Dyn qui lui a donné son caractère international. Entre temps, le botnet avait frappé le célèbre blog de Brian Krebs, avec un pic à 623 Gb/s. De quoi pousser Akamai, qui gérait les défenses contre de telles attaques, à abandonner son client, rien ne pouvant stopper une telle déferlante.

Dans le même temps, les auteurs de Mirai perfectionnaient le code, notamment via une concurrence intense avec vDOS, puisque les botnets se partageaient les mêmes cibles. Ils décident alors, pour brouiller les pistes, de rendre le code de Mirai open source. Une action lourde de conséquences.

C’est en effet une variante du Mirai original qui va provoquer la panne de Dyn. Le fournisseur de services DNS, maillon essentiel de l’infrastructure même d’Internet, s’écroule devant une attaque d’une force inégalée. Dyn évoque alors 1,2 Tb/s, mais le chiffre n’a jamais vraiment été confirmé. Amazon, Netflix, Paypal, Airbnb, Twitter, GitHub ou encore Reddit deviennent alors inaccessibles, attirant tout à coup le feu des projecteurs sur un phénomène nouveau. Non par son fonctionnement, puisque l’infection d’un objet connecté n’était pas neuve, mais par son ampleur et son organisation.

Comme le précise à Wired Justin Paine, responsable chez Cloudflare, cette attaque a provoqué une réaction coordonnée de la plupart des gros acteurs d’Internet. Des ingénieurs d’entreprises différentes ont alors commencé à échanger de nombreuses informations, notamment via Slack, dans des canaux dédiés. Le tout pendant que Mirai continuait son œuvre, privant notamment le Libéria tout entier d’Internet et contaminant 900 000 modems Deutsche Telekom en Allemagne.

Si la situation n’a pas plus dérapé – en dépit des ravages déjà causés – c’est parce deux mouvements étaient à l’œuvre. D’abord les efforts concertés des entreprises avec des conseils et modifications qui portaient doucement leurs fruits. Mais aussi parce que la publication du code de Mirai s’est en quelque sorte retournée contre le malware : les différentes variantes sont devenues ennemies. Elles concourraient ainsi pour les mêmes objets, disposant pour cela de fonctions spécifiques pour déloger les adversaires et prendre leur place.

Aux origines de Mirai, Minecraft

Avant que tout ne s’éparpille à cause de la multiplication des variantes, des points communs ont pu être trouvés par les enquêteurs. Grâce notamment à des pots de miel créés par Akamai, l’analyse des attaques a montré que Mirai semblait s’en prendre en priorité aux serveurs de jeu, notamment ceux de Minecraft.

Le FBI découvre alors cet univers, où les serveurs les plus populaires étaient capables d’engranger 100 000 dollars par mois au plus fort de l’été. Ils ont rapidement pris conscience aussi que ces serveurs se faisaient parfois la guerre, notamment grâce… à des attaques DDoS. De quoi donc provoquer des interruptions de service et s’en prendre directement au portefeuille.

Un élément qui permet de réinterpréter certaines des attaques. Et si OVH avait été attaqué pour son produit VAC, que des serveurs Minecraft utilisent justement pour se prémunir contre les attaques DDoS ? Même chose pour Dyn, comme on le sait depuis août dernier : les attaques semblaient viser des serveurs de jeu, et non pas l’entreprise elle-même. C’est l’ampleur de l’attaque qui a provoqué un élargissement du problème au reste de l’infrastructure.

Un trio infernal

La piste des auteurs de Mirai aura pris quelques mois à remonter. Les agents du FBI ont récupéré un certain nombre d’objets contaminés par le malware. On se souvient cependant que ce dernier ne résidait qu’en mémoire, s’effaçant donc en cas d’extinction de l’appareil. Les agents devaient donc attendre qu’ils soient à nouveau infectés, ce qui n’était pas forcément long, tant le botnet était virulent.

De là, à force d’analyser le code et les connexions établies, le FBI a pu remonter jusqu’à un lot d’adresses email et numéros de téléphones portables. Le reste est un pistage des informations via des mandats de recherche, ouvrant petit à petit la voie vers les trois auteurs originels de Mirai : Paras Jha, Josiah White et Dalton Norman.

On sait désormais quels sont leurs rôles respectifs. Paras Jha est l’architecte principal du malware, jouant aussi l’agent de liaison sur les forums de hacking, sous le pseudonyme d’Anna-senpai. Josiah White a conçu de son côté l’architecture du botnet proprement dit, ainsi que le scanner qui permettait de repérer les futures victimes de Mirai, l’un des points forts du malware par son efficacité. Enfin, Dalton Norman était chargé de mettre la main sur des failles à exploiter, augmenter encore la dangerosité du malware. Dans la manœuvre, il a même trouvé quatre failles 0-day.

Les trois auteurs de Mirai ont tous plaidé coupable vendredi dernier, même si l’information n’est devenue publique qu’hier soir. La condamnation n’a pas encore été prononcée, mais ils risquent une peine de prison allant de 5 à 10 ans.

Par ailleurs, même si ce chapitre particulier est clos, l’histoire de Mirai se poursuit puisque des variantes continuent d’apparaître. L’héritage du botnet sera certainement multiple, car il aura eu le mérite de braquer des centaines de milliers de doigts sur un manque cruel de sécurité dans les objets connectés, si bien que la situation a dû paraître parfois risible aux trois auteurs.

Dans ce domaine, les bonnes pratiques évoluent lentement. Mais on peut espérer que les fabricants arrêteront bientôt de considérer la sécurité comme une citoyenne de seconde zone. En contact avec Internet, les objets connectés doivent pouvoir se défendre… ou tout du moins éviter de faciliter la vie des pirates avec des choix déplorables, comme on avait pu le voir avec le cas emblématique des caméras connectés Foscam en juin dernier.

33

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les premiers échos d’un titan

L’évolution par la compétition

Aux origines de Mirai, Minecraft

Un trio infernal

Commentaires (33)


Ça m’étonne que le ministère de l’intérieur n’ait pas encore pondu un plaidoyer en faveur de l’interdiction de Minecraft, véritable terreau à terroristes…











<img data-src=" />


Très bon article. Merci. Je partage.


Terreauriste ?&nbsp;<img data-src=" />


Les DDoS sont de toute façon comme dis dans l’article la plupart du temps utilisé pour des jeux, il y avait même pendant un moment des “aides” pour gagner sur certains jeux dont les ips des adversaires était connues.



Ces aides faisaient des DDoS sur les adversaires pour provoquer des déconnexions et ainsi gagner facilement.



&nbsp;Dans le même genre sur Wow dernièrement il y a eu un drama car une des grosses guildes a eu un joueur “surle banc” qui a ddos des copains pour pouvoir avoir une place en raid. https://kotaku.com/top-world-of-warcraft-guild-says-member-ddos-ed-teammat-18212…



Les ddos c’est des trucs “pas cher” pour gamin qui peuvent ainsi faire chier leur monde.


La sécurité, c’est le genre de truc qui devrait être obligatoire dans la loi d’obsolescence programmée. genre minimum 5 ans de maj de secu obligatoire….



Quand on voit le suivi des téléphones portables par exemple.

C’est vraiment honteux.








Vincent_H a écrit :



Terreauriste ?&nbsp;<img data-src=" />





Un dangereux composteur !&nbsp; Mélange de complotiste et d’imposteur.&nbsp;<img data-src=" />



Très bon article, pour une fois, (que) j’ai tout lu <img data-src=" /> (ça me surprend)<img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" />








XMalek a écrit :



Les DDoS sont de toute façon comme dis dans l’article la plupart du temps utilisé pour des jeux, il y avait même pendant un moment des “aides” pour gagner sur certains jeux dont les ips des adversaires était connues.



Ces aides faisaient des DDoS sur les adversaires pour provoquer des déconnexions et ainsi gagner facilement.



 Dans le même genre sur Wow dernièrement il y a eu un drama car une des grosses guildes a eu un joueur “surle banc” qui a ddos des copains pour pouvoir avoir une place en raid. https://kotaku.com/top-world-of-warcraft-guild-says-member-ddos-ed-teammat-18212…



Les ddos c’est des trucs “pas cher” pour gamin qui peuvent ainsi faire chier leur monde.





Ton lien marche pas, on tombe sur un 404 ;)



1





palactu a écrit :



Un dangereux composteur !&nbsp; Mélange de complotiste et d’imposteur.&nbsp;<img data-src=" />





<img data-src=" />&nbsp;&nbsp; <img data-src=" />&nbsp;&nbsp; <img data-src=" />

&nbsp;&nbsp;









palactu a écrit :



Un dangereux composteur !  Mélange de complotiste et d’imposteur. <img data-src=" />







<img data-src=" />



Il faudra le proposer aux Académiciens <img data-src=" />



Pour moi la grosse news de l’article, c’est qu’un serveur Minecraft pouvait générer 100k€ par mois.



J’ai joué à Minecraft, j’ai loué un serveur pour jouer avec des potes. Mais je savais absolument pas qu’il avait un business sur les serveurs “custom” capable de générer AUTANT d’argent. C’est complètement dingue.



C’est quand même très marrant qu’un jeu aussi inoffensif ait généré un business suffisamment alléchant pour donner naissance au pire botnet de l’histoire.


Enlève la parenthèse à la fin.


Je comprends pas un truc, OVH vacille à 1.1 Tb/s, un blog se prend 623 Gb/s et Akamai abandonne ? Peut-on en déduire que les défenses d’OVH sont meilleures ? Son réseau plus gros…?








xlp a écrit :



Je comprends pas un truc, OVH vacille à 1.1 Tb/s, un blog se prend 623 Gb/s et Akamai abandonne ? Peut-on en déduire que les défenses d’OVH sont meilleures ? Son réseau plus gros…?







Oui celui d’ovh est plus gros. La taille qui compte quoi <img data-src=" />



Bon résumé même si je crois qu’il faut rendre vraiment hommage à Brian Krebs pour son extraordinaire travail d’investigation, qu’il a rendu public dans cet article de janvier dernier :

https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/



Il fut je pense le premier à comprendre le lien entre mirai et minecraft, c’est presque du Millenium mais sans les morts.


Si tu gères bien ton serveur oui c’est très rentable, surtout sur les jeux comme minecraft avec pas mal de mineurs facile à capter sur les microtransactions.



Après pour que ça fonctionne, il faut que ton serveur soit bien et connu. Ce n’est pas en mettant le serveur minecraft d’origine que tu vas attirer du monde, il faudra développer des plugins, gérer la promotion de son serveur, gérer sa communauté etc… Bref pas mal de taf au final.


Ce qui m’étonnera toujours avec ce type de personnes, c’est de voir comment on peut être brillant d’un côté, et complètement crétin de l’autre.



Ils auraient pu se faire des tas de thunes et gagner la reconnaissance qu’ils recherchent désespérément en restant du bon côté de la ligne blanche, au final ils vont juste se faire élargir l’anatomie du postérieur en taule…


Ou se faire proposer un arrangement pour travailler avec un bracelet au pied… Genre par une certaine agence gouvernementale. (surtout celui qui a trouvé les 4 0day)








Groupetto a écrit :



Ce qui m’étonnera toujours avec ce type de personnes, c’est de voir comment on peut être brillant d’un côté, et complètement crétin de l’autre. Ils auraient pu se faire des tas de thunes et gagner la reconnaissance qu’ils recherchent désespérément en restant du bon côté de la ligne blanche, au final ils vont juste se faire élargir l’anatomie du postérieur en taule…





C’est surement l’appât de l’argent facile… Si chaque mois tu à une armée de gros débiles ( parce que ça ne peut être que des gros débiles ) prêt à payer super cher pour jouer ça donne envie de les saigner encore plus parce que dans le fond ils le méritent. Personne actuellement est motivé pour vraiment s’attaquer au microtransaction, au pay2win et au gambling…



Dernière expérience en date : J’ai voulu rejouer à golf clash la semaine dernière sur mon mobiles. Je me retrouve face à un mec sur un par 4, je prend un maximum de risque en faisant un tir bien puissant avec un maximum d’effet et hop un coup de 337m balle sur le green…



Mon adversaire prend une balle “pay to win ” à 0.20€ l’unité ( c’est quasiment le même prix qu’une balle irl ), un coup tout simple sans effet, 339m sur le green…Pour le deuxième coup pas possible de rentrer la balle car le trou est trop loin ( mais wtf ? ), et mon adversaire lui à 2m plus prêt que moi, la cale sans problème.



Ha putain… Alors ok, OK personne ne me force à jouer mais il est clair que eux ils forcent clairement les jouer à payer pour jouer et gagner… Naturellement plus tu paye plus c’est simple de gagner, donc même un mec avec des balles à 20ct n’est pas forcément gagnant si il ce retrouve avec un mec qui à une balle à 1€ ( OUI OUI UNE BALLE DE GOLF VIRTUELLE A 1€ POUR JOUER 4 COUP OUI OUI ). Comment je regrette les jeux “à l’ancienne” ou les bon joueurs étaient récompensés, qu’une fois le jeu acheté il y avais juste à jouer et ou il était possible de s’entrainer…



Tout ça pour dire que tant qu’il y aura des connard qui propose des balles virtuelles à 1€ l’unité et des gogos pour les acheter, ce genre d’arnaque ne fera que perdurer. Le délire c’est que les gens sont tellement abrutis que peu importe ce que tu leur proposera d’acheter ils achèteront, c’est pourquoi la régulation doit être faite à la source.



C’est quoi la prochaine génération de jeux vidéos ? Devoir payer pour mettre les graphisme en ultra ? Ce retrouver avec un seul&nbsp; niveau qui fait office de démo puis faire raquer tous les autres niveaux ( le pire ça existe déjà ) ?



<img data-src=" />

Très bon


Je ne vois pas l’intérêt d’envoyer ce genre de gars en prison… Amende + travail d’intérêt général + bracelet electronique (genre utiliser leurs compétences pour mieux sécurisé des sites publique) serait de mon point de vue bien plus intelligent.


Aux États-Unis, les prisons sont gérées par des sociétés privées. Plus de détenus, plus de revenu. “Étrangement”, ils ont la plus grande proportion de population carcérale au monde.








SFX-ZeuS a écrit :



Je ne vois pas l’intérêt d’envoyer ce genre de gars en prison… Amende + travail d’intérêt général + bracelet electronique (genre utiliser leurs compétences pour mieux sécurisé des sites publique) serait de mon point de vue bien plus intelligent.





C’est pas faux mais ils ont suffisamment déconné (vu les dégâts) pour “mériter” de faire un peu de prison, du moins ça doit être le point de vue de la justice.







V_E_B a écrit :



Aux États-Unis, les prisons sont gérées par des sociétés privées. Plus de détenus, plus de revenu. “Étrangement”, ils ont la plus grande proportion de population carcérale au monde.





C’est un peu plus compliqué que ça, et d’ailleurs c’est en train de changer, que ce soit pour le taux d’incarcération, ou les prisons privées, dans lesquelles va une minorité des prisonniers :https://www.lesechos.fr/19/08/2016/lesechos.fr/0211215138734_bientot-la-fin-des-… .









SFX-ZeuS a écrit :



Je ne vois pas l’intérêt d’envoyer ce genre de gars en prison… Amende + travail d’intérêt général + bracelet electronique (genre utiliser leurs compétences pour mieux sécurisé des sites publique) serait de mon point de vue bien plus intelligent.







Tu as sûrement manqué que l’histoire se déroule au USA.



Land of the free









palactu a écrit :



Un dangereux composteur !  Mélange de complotiste et d’imposteur. <img data-src=" />





Excellent !

En plus ça va souvent ensemble, qu’un complotiste fasse de l’imposture.









von-block a écrit :



Tu as sûrement manqué que l’histoire se déroule au USA.

Land of the free





Ahem…

Les TIG existent aux US (on le voit même dans des séries), tout comme les bracelets électroniques.







SFX-ZeuS a écrit :



Je ne vois pas l’intérêt d’envoyer ce genre de gars en prison… Amende + travail d’intérêt général + bracelet electronique





(juste pour mention)









palactu a écrit :



Un dangereux composteur !  Mélange de complotiste et d’imposteur. <img data-src=" />



Qui agit souvent dans les gares, d’ailleurs!



Super article.

Passionnant !


Mouais, enfin, pour le Libéria, cela n’a jamais été confirmé&nbsphttps://krebsonsecurity.com/2016/11/did-the-mirai-botnet-really-take-liberia-off… Prudence dès qu’on parle d’attaques en ligne. Il y a peu d’informations fiables (et beaucoup de gens qui copient/collent les articles des autres).


La décision d’Akamai n’était pas purement technique. Si l’attaque leur coûte trop cher, ils laissent tomber. Aux États-Unis, on fait du business, pas du sentiment.








Patch a écrit :



Qui agit souvent dans les gares, d’ailleurs!





Pas mal :-)









Patch a écrit :



Qui agit souvent dans les gares, d’ailleurs!





Joli.&nbsp;<img data-src=" />