Botnets Mirai : un flux en temps réel des attaques DDoS

Le par  |  1 commentaire(s)
Mirai-cartographie

Grosse claque pour réveiller brutalement l'industrie de l'Internet des Objets après la cyberattaque qui a déstabilisé l'Internet. Un lien a été établi avec le botnet Mirai. Les attaques des botnets Mirai sont à suivre en direct.

Vendredi, plusieurs sites Web - dont quelques-uns très populaires - ont été inaccessibles pour des internautes en raison d'une attaque par déni de service distribué qui a ciblé le prestataire américain de services DNS dénommé Dyn.

Une première cyberattaque a ciblé l'infrastructure de gestion DNS de Dyn dans la région de l'Est des États-Unis. Elle a été résorbée au bout de 2 heures. Une deuxième cyberattaque répartie de manière plus globale a suivi et a été contrée en 1 heure. Une troisième tentative de cyberattaque n'a pas eu d'effet.

Cette cyberattaque a mis en lumière une certaine fragilité d'Internet avec des sites n'ayant qu'un seul et unique fournisseur de service DNS pour permettre aux internautes de faire le lien entre une adresse saisie dans le navigateur et leur adresse IP.

Cela étant, Dyn est évidemment habitué à atténuer les effets d'attaques DDoS. Celle de vendredi est considérée comme sophistiquée et hautement distribuée. À ce stade de l'enquête, il est avéré qu'elle s'est appuyée sur des dizaines de millions d'adresses IP associées au botnet Mirai.

Un compte Twitter (@MiraiAttacks) utilise des données compilées par les chercheurs en sécurité MalwareTech et 2sec4u qui cartographient la propagation du malware à l'origine du ou plutôt des botnets Mirai. Ce compte Twitter publie en temps réel des attaques DDoS en cours qui sont lancées par des bataillons d'objets connectés compromis par Mirai. Il affiche les adresses IP ciblées par les botnets.

Nous avions déjà évoqué le cas de Mirai dans nos colonnes, et notamment pour signaler la libération du code source du cheval de Troie de ce botnet de l'Internet des Objets, d'où l'existence de plusieurs botnets.

Un botnet Mirai en Open Source
Le malware infecte des objets connectés et n'a de cesse d'en chercher d'autres à infecter. Le souci est l'emploi d'identifiants d'usine par défaut (faciles à trouver et rarement modifiés par les utilisateurs ; certains sont codés en dur dans le malware) avec des interfaces d'accès Web ou des services comme Telnet, SSH qui peuvent être détournés.

La société de cybersécurité Flashpoint - qui a aidé Dyn pour l'analyse de la cyberattaque - met notamment en cause des objets connectés avec un firmware de XiongMai où les mots de passe sont codés en dur, de même que le service Telnet dans un script /etc/init.d/rcS qui est le premier à être lancé au démarrage. Tout ceci n'est alors pas facile à changer.

Avec la cyberattaque de vendredi, la prise de conscience est sévère pour l'industrie des objets connectés. Un électrochoc qui devrait l'amener à réagir et enfin prêter oreille attentive aux alertes répétées d'experts en sécurité. Un problème est que les objets connectés constituent un environnement hétérogène et la question de la sécurité n'est pas suffisamment prise en compte par tous (elle est aussi coûteuse). La majeure partie de ces objets ne propose pas - ou très peu - de mises à jour.

Il sera difficile d'attribuer la paternité de la cyberattaque de la semaine dernière, d'autant plus en tenant compte du fait de la libération en open source de Mirai. Cette libération était peut-être l'effet recherché pour brouiller les pistes et un prérequis à des actions retentissantes.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1929048
C'est clair que les fabriquants vont devoir se sortir les doigts et implémenter une solution qui permettra aussi à la mère michu d'être obligé de modifier le MDP par défaut..
Après on ne sera pas à l'abri de voir des MDP alakon du style 123456, mais ça, ça rélèvera toujours de l'éternel et insolvable bug 'ICC'
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]