Le 12 octobre 2016, une attaque par déni de service (DDoS) massive a laissé une grande partie de l'internet inaccessible sur la côte est des États-Unis. L'attaque, que les autorités craignaient au départ d'être l'œuvre d'un État-nation hostile, était en fait l'œuvre du botnet Mirai.
Cette attaque, qui avait au départ beaucoup moins d'ambitions – gagner un peu d'argent aux amateurs de Minecraft – est devenue plus puissante que ses créateurs n'auraient jamais rêvé possible. C'est une histoire de conséquences imprévues et de menaces de sécurité inattendues, qui en disent long sur notre époque moderne. Mais pour le comprendre, vous avez besoin d’un peu d’arrière-plan.
Sommaire
Comment fonctionnent les botnets
Si vous voulez entrer dans les détails, consultez cet article sur le sujet, mais en un mot, un botnet est un ensemble d'ordinateurs connectés à Internet – les "bots" – contrôlés à distance par un tiers. Habituellement, ces ordinateurs ont été compromis par des attaquants extérieurs qui contrôlent des aspects de leurs fonctionnalités à l’insu de leurs propriétaires.
Comme il y a beaucoup de bots, les contrôleurs ont essentiellement accès à une sorte de super ordinateur qu'ils peuvent utiliser à des fins néfastes et, comme ils sont répartis sur plusieurs parties d'Internet, il peut être difficile de les arrêter. Le tout premier réseau de zombies a été créé en 2001 pour envoyer du spam. C’est une utilisation courante: comme les messages indésirables sont envoyés depuis de nombreux ordinateurs, il est difficile de bloquer les filtres antispam. Une autre utilisation courante – et celle desservie par le botnet Mirai – est celle de fantassins dans une attaque par DDoS, dans laquelle un serveur cible est tout simplement bombardé de trafic Web jusqu'à ce qu'il soit submergé et mis hors ligne.
Comment faire un botnet
Traditionnellement, les réseaux de zombies sont créés en compromettant les ordinateurs personnels, qui présentent souvent un certain nombre de vulnérabilités. Les ordinateurs peuvent être capturés soit via des ports réseau non protégés, soit via des chevaux de Troie ou d’autres logiciels malveillants, souvent propagés par des spams, ouvrant les portes dérobées accessibles aux attaquants. Une fois que le PC est compromis, le contrôleur – connu sous le nom de bot herder – émet des commandes via IRC ou d'autres outils. Parfois, les commandes proviennent d’un serveur central, bien que le plus souvent, les réseaux de zombies aient une architecture distribuée qui rend leurs contrôleurs plus difficiles à localiser.
Qu'est-ce qu'un botnet IoT?
Au fil des ans, les fabricants de PC ont acquis de plus en plus d’esprit pour renforcer la sécurité de leurs ordinateurs. Mais une autre cible séduisante existe pour les constructeurs de botnet: Internet des objets (IdO), un terme générique pour divers gadgets que la plupart des gens ne considèrent pas comme des ordinateurs, mais qui ont toujours une puissance de traitement et une connexion Internet. Ces périphériques, allant des routeurs domestiques aux caméras de sécurité en passant par les moniteurs pour bébé, incluent souvent un système Linux intégré et dépouillé. De plus, ils n’ont souvent pas la capacité intégrée d’être patchés à distance et se trouvent dans des endroits physiquement éloignés ou inaccessibles.
Quelle a été l'attaque du botnet Mirai?
Mais revenons un peu en arrière. Qui a construit Mirai et quel était son but?
Bien qu'une grande partie de l'écosystème de programmes malveillants émane du monde obscur du crime organisé d'Europe de l'Est ou des services de renseignement des États nationaux, nous avons en réalité noms et endroits pour aller avec cette attaque particulièrement frappante. Paras Jha, étudiant de premier cycle à Rutgers, s'est intéressé à la façon dont les attaques par déni de service peuvent être utilisées à des fins lucratives. Il a lancé une série d'attaques mineures contre les systèmes de sa propre université, programmées pour correspondre à des événements importants tels que l'enregistrement et les cours intermédiaires, tout en essayant de les convaincre de l'embaucher pour atténuer ces attaques.
Il était également un grand joueur de Minecraft, et l’une des bizarreries de l’économie de Minecraft est qu’il ya beaucoup à faire avec l’hébergement de serveurs de jeux Minecraft, ce qui conduit à des escarmouches dans lesquelles des hôtes lancent des attaques DDoS contre leurs rivaux, dans l’espoir de frapper leurs serveurs. déconnecté et attirer leur entreprise.
Mirai était une autre itération d’une série de paquets de réseaux de zombies pour les programmes malveillants développés par Jha et ses amis. Jha, qui aimait l'anime et qui a écrit en ligne sous le nom "Anna-Senpai", l'a baptisée Mirai (en japonais pour "le futur", 未来), d'après la série animée Mirai Nikki, ou "futur agenda". Il encapsulait des techniques intelligentes, notamment la liste des mots de passe codés en dur. Mais, selon les mots d’un agent du FBI qui a enquêté sur les attaques, "Ces enfants sont super intelligents, mais ils n’ont rien fait de haut niveau, ils ont juste eu une bonne idée."
DDoS Mirai
La première grande vague d'attaques de Mirai a eu lieu le 19 septembre 2016 et a été utilisée contre l'hôte français OVH. En effet, il s'est avéré que plus tard OVH hébergeait un outil populaire que les hôtes serveurs Minecraft utilisent pour lutter contre les attaques DDoS. Quelques jours plus tard, "Anna-Senpai" publiait en ligne le code du botnet Mirai – une technique assez répandue qui donne aux créateurs de logiciels malveillants un déni plausible, car ils savent que les imitateurs utiliseront le code, et que le flou persiste. créé le premier. Quelqu'un d'autre a lancé la grande attaque du 12 octobre contre Dyn, une entreprise d'infrastructure qui, entre autres, propose des services DNS à de nombreux sites Web volumineux. Le FBI pense que cette attaque visait en définitive les serveurs de jeux Microsoft.
En décembre 2016, Jha et ses associés plaidé coupable pour des crimes liés aux attaques de Mirai. Mais à ce moment-là, le code était dans la nature et était utilisé comme blocs de construction pour d'autres contrôleurs de botnet.
Code source du botnet Mirai
Et oui, vous avez bien lu: le code du botnet Mirai a été publié dans la nature. Cela signifie que n'importe qui peut l'utiliser pour tenter sa chance en infectant des appareils IoT (dont la plupart ne sont pas encore protégés) et en lançant des attaques DDoS contre leurs ennemis, ou en vendant ce pouvoir au plus offrant. De nombreux cybercriminels ont fait cela ou ont peaufiné et amélioré le code pour le rendre encore plus difficile à combattre.
Analyse et détection de botnet Mirai
Les bonnes personnes à Imperva Incapsula ont une excellente analyse du code de botnet Mirai. Vous devriez vous diriger là-bas pour une plongée profonde, mais voici quelques points saillants:
- Mirai peut lancer à la fois des attaques HTTP et des attaques au niveau du réseau
- Il est difficile d'éviter certains réseaux d'adresses IP, y compris ceux appartenant à GE, Hewlett-Packard et le département américain de la Défense.
- Lorsqu’il infecte un appareil, Mirai cherche autre malware sur cet appareil et l'efface, afin de réclamer le gadget comme son propre
- Le code de Mirai contient quelques chaînes en russe – qui, comme nous l'avons appris plus tard, étaient un fouillis pour son origine ultime.
Imperva Incapsula dispose également d’un outil qui analyse votre réseau à la recherche de vulnérabilités, notamment de périphériques dont les noms de connexion et les mots de passe figurent sur la liste de Mirai. Du fait que Mirai se stocke dans la mémoire, le redémarrage de l’appareil est suffisant pour éliminer toute infection potentielle, bien que les appareils infectés soient généralement réinfectés rapidement. Par conséquent, il est recommandé de remplacer le mot de passe par un mot plus fort avant le redémarrage si vous avez un périphérique vulnérable.
Vidéo connexe
Commentaires
Laisser un commentaire