Accueil🇫🇷Chercher

Mirai (logiciel malveillant)

Mirai (未来, mot japonais pour « avenir ») est un logiciel malveillant qui transforme des ordinateurs utilisant le système d'exploitation Linux en bots contrĂ´lĂ©s Ă  distance, formant alors un botnet utilisĂ© notamment pour rĂ©aliser des attaques Ă  grande Ă©chelle sur les rĂ©seaux. Il cible principalement les dispositifs grand public tels que des camĂ©ras pilotables Ă  distance ou encore des routeurs pour la maison[1]. Un ou plusieurs botnets Mirai ont Ă©tĂ© utilisĂ©s dans certaines des plus importantes et percutantes attaques en dĂ©ni de service distribuĂ© (DDoS).

Mirai
Informations
Type Botnet
Auteur « Anna-senpai »
(pseudonyme)
Système(s) d'exploitation affecté(s) Linux
Écrit en C (code malveillant), Go (serveur de commande et contrôle)

Le logiciel malveillant

Les appareils infectĂ©s par Mirai recherchent en permanence sur Internet des adresses IP correspondant Ă  des objets connectĂ©s (IoT). Mirai contient une table de masques de sous-rĂ©seaux qu'il ne tentera pas d'infecter, comprenant les rĂ©seaux privĂ©s et les adresses attribuĂ©es Ă  l'United States Postal Service et au ministère de la dĂ©fense des États-Unis[2].

Mirai identifie ensuite les objets IoT vulnĂ©rables grâce Ă  une table d'identifiants et de mots de passe par dĂ©faut et se connecte ensuite tout simplement pour installer le logiciel malveillant[3] - [4] - [5]. Les objets infectĂ©s continueront Ă  fonctionner normalement, sauf une lenteur occasionnelle[3] et une augmentation de l'utilisation de la bande passante. Un appareil est infectĂ© jusqu'Ă  son redĂ©marrage, ce qui peut supposer simplement d'Ă©teindre l'appareil, puis de le rallumer après une brève attente. Après un redĂ©marrage, Ă  moins que le mot de passe ait Ă©tĂ© changĂ© immĂ©diatement, on a constatĂ© que l'appareil est souvent rĂ©infectĂ© en quelques minutes[3].

Il y a des centaines de milliers d'appareils connectĂ©s Ă  Internet qui utilisent des paramètres par dĂ©faut, ce qui les rend vulnĂ©rables Ă  ce type d'attaque. Une fois infectĂ©, le dispositif surveille un serveur de commande et de contrĂ´le (C&C) qui est utilisĂ© pour indiquer la cible d'une attaque[3]. L'intĂ©rĂŞt de l'utilisation des nombreux objets connectĂ©s Ă  Internet est de contourner certains systèmes de protection contre les dĂ©nis de service qui surveillent les adresses IP des connexions entrantes et rĂ©alisent un filtrage ou mettent en place un blocage s'il identifie une typologie de trafic anormale, telle que de nombreuses requĂŞtes provenant de la mĂŞme adresse IP. Une autre motivation est la possibilitĂ© de mobiliser plus de bande passante que celle dont l'attaquant dispose Ă  lui tout seul, et Ă©viter d'ĂŞtre tracĂ©.

Le code source pour le logiciel malveillant Mirai a été publié fin sur des forums de hackers[6], puis sur Github. Depuis que ce code source a été publié, les mêmes techniques ont été adaptées dans d'autres projets de logiciels malveillants[7].

Utilisation dans des attaques DDoS

Mirai a Ă©tĂ© utilisĂ© dans l'attaque DDoS du contre le site Krebs on Security qui a atteint 620 Gbit/s[8]. Ars Technica rapporte aussi une attaque de 1 Tbits/s contre l'hĂ©bergeur français OVH[4].

Le plusieurs grandes attaques DDoS Ă  l'encontre des services DNS de l'entreprise Dyn ont Ă©tĂ© rĂ©alisĂ©es grâce Ă  des botnets Mirai, entraĂ®nant des difficultĂ©s pour accĂ©der Ă  des sites tels que GitHub, Twitter, Reddit, Netflix, Airbnb et beaucoup d'autres[9]. L'attribution de l'attaque Ă  un botnet Mirai a Ă©tĂ© initialement publiĂ©e par l'entreprise de sĂ©curitĂ© BackConnect[10].

Certains éléments semblent écarter un lien direct entre toutes ces attaques, si ce n'est l'utilisation de botnets de type Mirai[11].

Les équipes de Deep Learning Security ont observé la croissance continue des botnets Mirai avant et après l'attaque du [12].

Voir aussi

Références

  1. Biggs, John, « Hackers release source code for a powerful DDoS app called Mirai », TechCrunch, (consulté le )
  2. Zeifman, Igal et Bekerman, Dima, « Breaking Down Mirai: An IoT DDoS Botnet Analysis », Incapsula, (consulté le )
  3. Moffitt, Tyler, « Source Code for Mirai IoT Malware Released », Webroot, (consulté le )
  4. Bonderud, Douglas, « Leaked Mirai Malware Boosts IoT Insecurity Threat Level », securityintelligence.com, (consulté le )
  5. Osborne, Charlie, « Mirai DDoS botnet powers up, infects Sierra Wireless gateways », ZDNet, (consulté le )
  6. Nick Statt, « How an army of vulnerable gadgets took down the web today », The Verge, (consulté le )
  7. Kan, Michael, « Hackers create more IoT botnets with Mirai source code », ITWORLD, (consulté le )
  8. The Economist, 8 October 2016, The internet of stings
  9. « Today the web was broken by countless hacked devices », theregister.co.uk, (consulté le )
  10. « Blame the Internet of Things for Destroying the Internet Today », sur Motherboard, VICE (consulté le )
  11. (en-US) « Flashpoint - Mirai Botnet Linked to Dyn DNS DDoS Attacks », Flashpoint,‎ (lire en ligne, consulté le )
  12. "Think Mirai DDoS is over?
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.