Comment sécuriser votre routeur contre les attaques de botnet Mirai

par
Tweetez
Partagez
Enregistrer
Partagez
Partagez
0 Partages

Une stratégie utilisée par les attaquants malveillants pour intensifier leurs cyberattaques est l’utilisation de botnets.

Un botnet est un réseau d’ordinateurs qui ont été infectés par des logiciels malveillants et qui sont contrôlés à distance par un acteur malveillant. Un tel acteur malveillant contrôlant un groupe d’ordinateurs infectés est appelé un bot herder. Les appareils infectés individuels sont appelés bots.

Les bot herders commandent et contrôlent le groupe d’ordinateurs infectés, leur permettant de mener des cyberattaques à une échelle beaucoup plus grande. Les botnets ont été largement utilisés dans le déni de service à grande échelle, le phishing, les attaques de spam et le vol de données.

Un exemple de malware qui a depuis acquis une notoriété pour le détournement d’appareils numériques afin de créer de très grands botnets est le malware Mirai Botnet. Mirai est un malware botnet qui cible et exploite les vulnérabilités des appareils Internet des objets (IoT) exécutant Linux.

Lors de l’infection, Mirai détourne l’appareil IoT en le transformant en un bot contrôlé à distance qui peut être utilisé dans le cadre d’un botnet pour lancer des cyberattaques massives. Mirai a été écrit en C et GO.

Le logiciel malveillant a pris de l’importance en 2016 lorsqu’il a été utilisé dans une attaque par déni de service distribué (DDOS) contre DYN, un fournisseur de système de noms de domaine. L’attaque a empêché les internautes d’accéder à des sites comme Airbnb, Amazon, Twitter, Reddit, Paypal et Visa, entre autres.

Le malware Mirai était également responsable d’attaques DDOS sur le site de cybersécurité Krebs on Security et la société française de cloud computing OVHCloud.

Comment Mirai a été créé

Le logiciel malveillant Mirai a été écrit par Paras Jha et Josiah White, qui à l’époque étaient des étudiants dans la vingtaine et également les fondateurs de ProTraf Solutions, une société qui offrait des services d’atténuation DDOS. Mirai Malware a été écrit en utilisant les langages de programmation C et Go.

Initialement, leur objectif pour Mirai était de supprimer les serveurs Minecraft concurrents à l’aide d’attaques DDOS afin qu’ils puissent attirer plus de clients en supprimant la concurrence.

Leur utilisation pour Mirai s’est ensuite déplacée vers l’extorsion et le racket. Le duo lancerait des attaques DDOS sur les entreprises, puis contacterait les entreprises qu’ils avaient attaquées pour proposer des atténuations DDOS.

Mirai Botnet a attiré l’attention des autorités et de la communauté de la cybersécurité après avoir été utilisé pour faire tomber le site Web Krebs on Security et son attaque contre OVH. Alors que Mirai Botnet commençait à faire la une des journaux, les créateurs ont divulgué le code source à Mirai Botnet sur un forum de piratage accessible au public.

Il s’agissait probablement d’une tentative de brouiller les pistes et d’éviter d’être tenu responsable des attaques DDOS effectuées à l’aide de Mirai Botnet. Le code source de Mirai Botnet a été repris par d’autres cybercriminels, ce qui a conduit à la création de variantes de Mirai Botnet telles que Okiru, le Masuta et le Satori, et le PureMasuta.

Les créateurs du Mirai Botnet ont cependant été capturés plus tard par le FBI. Cependant, ils n’ont pas été emprisonnés et ont plutôt été condamnés à des peines plus légères parce qu’ils ont coopéré avec le FBI pour capturer d’autres cybercriminels et prévenir les cyberattaques.

Comment fonctionne le botnet Mirai

Une attaque par Mirai Botnet implique les étapes suivantes :

  • Mirai Botnet analyse d’abord les adresses IP sur Internet pour identifier les appareils IoT exécutant Linux sur le processeur Arc. Il identifie et cible ensuite les appareils qui ne sont pas protégés par un mot de passe ou qui utilisent des informations d’identification par défaut.
  • Une fois qu’il a identifié les appareils vulnérables, Mirai essaie une variété d’informations d’identification par défaut connues pour tenter d’accéder au réseau de l’appareil. Si l’appareil utilise des configurations par défaut ou n’est pas protégé par un mot de passe, Mirai se connecte à l’appareil et l’infecte.
  • Mirai Botnet analyse ensuite l’appareil pour déterminer s’il a été infecté par d’autres logiciels malveillants. Dans le cas contraire, il supprime tous les autres logiciels malveillants afin qu’il soit le seul logiciel malveillant sur l’appareil, ce qui lui donne plus de contrôle sur l’appareil.
  • Un appareil infecté par Mirai fait alors partie du Mirai Botnet et peut être contrôlé à distance à partir d’un serveur central. Un tel dispositif attend simplement les commandes du serveur central.
  • Les appareils infectés sont ensuite utilisés pour infecter d’autres appareils ou utilisés dans le cadre d’un botnet pour mener des attaques DDOS à grande échelle sur des sites Web, des serveurs, des réseaux ou d’autres ressources accessibles sur Internet.

    • Il convient de noter que Mirai Botnet est venu avec des plages d’adresses IP qu’il n’a pas ciblées ni infectées. Cela inclut les réseaux privés et les adresses IP attribuées au Département de la Défense des États-Unis et au Service postal des États-Unis.

    Types d’appareils ciblés par Mirai Botnet

    La cible principale de Mirai Botnet est les appareils IoT utilisant des processeurs ARC. Selon Paras Jha, l’un des auteurs du bot Mirai, la plupart des appareils IoT infectés et utilisés par le Mirai Botnet étaient des routeurs.

    Cependant, la liste des victimes potentielles de Mirai Botnet comprend d’autres appareils IoT qui utilisent des processeurs ARC.

    Cela pourrait inclure des appareils domestiques intelligents tels que des caméras de sécurité, des moniteurs pour bébé, des thermostats et des téléviseurs intelligents, des appareils portables tels que des trackers de fitness et des montres, et des appareils IoT médicaux tels que des moniteurs de glucose et des pompes à insuline. Les appareils IoT industriels et les appareils IoT médicaux utilisant des processeurs ARC peuvent également être victimes du botnet Mirai.

    Comment détecter une infection par le botnet Mirai

    Mirai Botnet est conçu pour être furtif dans son attaque, et donc, détecter que votre appareil IoT est infecté par Mirai Botnet n’est pas une tâche facile. Cependant, ils ne sont pas faciles à détecter. Cependant, recherchez les indicateurs suivants qui pourraient signaler une éventuelle infection Mirai Botnet sur votre appareil IoT :

    • Connexion Internet ralentie – Le botnet Mirai peut ralentir votre connexion Internet car vos appareils IoT sont utilisés pour lancer des attaques DDOS.
    • Trafic réseau inhabituel – Si vous surveillez régulièrement votre activité réseau, vous remarquerez peut-être une augmentation soudaine du trafic réseau ou des demandes envoyées à des adresses IP inconnues
    • Performances réduites de l’appareil – Votre appareil IoT fonctionnant de manière sous-optimale ou présentant un comportement inhabituel, comme l’arrêt ou le redémarrage de lui-même, pourrait être un indicateur d’une éventuelle infection Mirai.
    • Modifications des configurations des appareils – Mirai Botnet peut apporter des modifications aux paramètres ou aux configurations par défaut de vos appareils IoT pour faciliter l’exploitation et le contrôle des appareils à l’avenir. Si vous remarquez des changements dans les configurations de vos appareils IoT, et que vous n’en êtes pas responsable, cela pourrait indiquer une éventuelle infection Mirai Botnet.

    Bien qu’il y ait des signes que vous pouvez surveiller pour savoir si votre appareil a été infecté, parfois, vous ne les remarquerez peut-être pas facilement simplement parce que Mirai Botnet est conçu de telle manière qu’il est très difficile à détecter. Par conséquent, la meilleure façon d’y faire face est d’empêcher Mirai Botnet d’infecter vos appareils IoT.

    Cependant, si vous soupçonnez qu’un appareil IoT a été détecté, déconnectez-le du réseau et ne reconnectez l’appareil qu’une fois la menace éliminée.

    Comment protéger vos appareils contre l’infection Mirai Botnet

    La stratégie clé de Mirai Botnet pour infecter les appareils IoT consiste à tester un ensemble de configurations par défaut bien connues pour voir si les utilisateurs utilisent toujours les configurations par défaut.

    Si tel est le cas, Mirai se connecte et infecte les appareils. Par conséquent, une étape importante dans la protection de vos appareils IoT contre Mirai Botnet consiste à éviter l’utilisation de noms d’utilisateur et de mots de passe par défaut.

    Assurez-vous de changer vos informations d’identification et d’utiliser des mots de passe qui ne peuvent pas être facilement devinés. Vous pouvez même utiliser un générateur de mots de passe aléatoires pour obtenir des mots de passe uniques qui ne peuvent pas être devinés.

    Vous pouvez également mettre à jour régulièrement le micrologiciel de votre appareil et installer des correctifs de sécurité chaque fois qu’ils sont publiés. Les entreprises publient souvent des correctifs de sécurité au cas où des vulnérabilités seraient découvertes dans leurs appareils.

    Par conséquent, l’installation de correctifs de sécurité chaque fois qu’ils sont publiés peut vous aider à garder une longueur d’avance sur les attaquants. Si votre appareil IoT dispose d’un accès à distance, envisagez également de le désactiver, au cas où vous n’auriez pas besoin de cette fonctionnalité.

    D’autres mesures que vous pouvez prendre incluent la surveillance régulière de l’activité de votre réseau et la segmentation de votre réseau domestique de sorte que les appareils IoT ne soient pas connectés aux réseaux critiques à la maison.

    Conclusion

    Bien que les créateurs du Mirai Botnet aient été appréhendés par les autorités, le risque d’infection par le Mirai Botnet persiste. Le code source de Mirai Botnet a été rendu public, ce qui a conduit à la création de variantes mortelles de Mirai Botnet, qui ciblent les appareils IoT et ont plus de contrôle sur les appareils.

    Par conséquent, lors de l’achat d’appareils IoT, les fonctionnalités de sécurité offertes par le fabricant de l’appareil doivent être une considération clé. Achetez des appareils IoT dotés de fonctions de sécurité qui empêchent d’éventuelles infections par des logiciels malveillants.

    De plus, évitez d’utiliser les configurations par défaut dans vos appareils et mettez régulièrement à jour le micrologiciel de votre appareil et installez tous les derniers correctifs de sécurité chaque fois qu’ils sont publiés.

    Vous pouvez également explorer les meilleurs outils EDR pour détecter et répondre rapidement aux cyberattaques.