Découvert pour la première fois en 2016, le botnet Mirai a pris le contrôle d’un nombre sans précédent d’appareils et infligé d’énormes dégâts à Internet. Maintenant c’est de retour et plus dangereux que jamais.
Table des matières
Le nouveau Mirai amélioré infecte plus d’appareils
Le 18 mars 2019, des chercheurs en sécurité de Réseaux Palo Alto a dévoilé que Mirai a été peaufiné et mis à jour pour atteindre le même objectif à plus grande échelle. Les chercheurs ont découvert que Mirai utilisait 11 nouvelles exportations (portant le total à 27) et une nouvelle liste d’informations d’identification d’administrateur par défaut à essayer. Certains des changements ciblent le matériel professionnel, notamment les téléviseurs LG Supersign et les systèmes de présentation sans fil WePresent WiPG-1000.
Mirai peut être encore plus puissant s’il peut prendre en charge le matériel d’entreprise et réquisitionner les réseaux d’entreprise. Comme Ruchna Nigam, chercheuse principale sur les menaces chez Palo Alto Networks, le met:
Ces nouvelles fonctionnalités offrent au botnet une grande surface d’attaque. En particulier, le ciblage des liens d’entreprise lui donne également accès à une bande passante plus importante, ce qui se traduit finalement par une plus grande puissance de feu pour le botnet pour les attaques DDoS.
Cette variante de Miria continue d’attaquer les routeurs, caméras et autres appareils connectés au réseau. À des fins destructrices, plus il y a d’appareils infectés, mieux c’est. Ironiquement, la charge malveillante était hébergée sur un site Web faisant la promotion d’une entreprise traitant de «la sécurité électronique, l’intégration et la surveillance des alarmes».
Mirai est un botnet qui attaque les appareils IOT
Si vous ne vous en souvenez pas, en 2016, le botnet Mirai semblait être partout. Il ciblait les routeurs, les systèmes DVR, les caméras IP et plus encore. Ceux-ci sont souvent appelés appareils Internet des objets (IoT) et incluent des appareils simples comme les thermostats qui se connectent à Internet. Les botnets fonctionnent en infectant des groupes d’ordinateurs et d’autres appareils connectés à Internet, puis en forçant ces machines infectées à attaquer les systèmes ou à travailler sur d’autres objectifs de manière coordonnée.
Mirai s’est attaqué aux appareils avec les informations d’identification d’administrateur par défaut, soit parce que personne ne les a modifiés, soit parce que le fabricant les a codés en dur. Le botnet a pris le contrôle d’un grand nombre d’appareils. Même si la plupart des systèmes n’étaient pas très puissants, le nombre total fonctionné pourrait fonctionner ensemble pour réaliser plus qu’un ordinateur zombie puissant ne le pourrait à lui seul.
Mirai a repris près de 500 000 appareils. En utilisant ce botnet groupé d’appareils IoT, Mirai a paralysé des services comme Xbox Live et Spotify et des sites Web comme BBC et Github en ciblant directement les fournisseurs DNS. Avec autant de machines infectées, Dyn (un fournisseur DNS) a été arrêté par une attaque DDOS qui a généré 1,1 téraoctet de trafic. Une attaque DDOS fonctionne en inondant une cible d’une quantité massive de trafic Internet, plus que la cible ne peut gérer. Cela amènera le site Web ou le service de la victime à une exploration ou le forcera à quitter complètement Internet.
Les créateurs originaux du logiciel de botnet Marai étaient arrêté, plaidé coupable et mis à l’épreuve. Pendant un certain temps, Mirai a été fermée. Mais suffisamment de code a survécu pour que d’autres mauvais acteurs prennent le contrôle de Mirai et le modifient pour répondre à leurs besoins. Maintenant, il existe une autre variante de Mirai.
Comment vous protéger de Mirai
Mirai, comme d’autres botnets, utilise des exploits connus pour attaquer les appareils et les compromettre. Il essaie également d’utiliser les informations de connexion par défaut connues pour fonctionner dans l’appareil et le prendre en charge. Vos trois meilleures lignes de protection sont donc simples.
Mettez toujours à jour le micrologiciel (et le logiciel) de tout ce que vous avez chez vous ou sur votre lieu de travail et pouvant se connecter à Internet. Le piratage est un jeu de chat et de souris, et une fois qu’un chercheur découvre un nouvel exploit, des correctifs suivent pour corriger le problème. Les botnets comme celui-ci prospèrent sur des appareils non corrigés, et cette variante de Mirai n’est pas différente. Les exploits ciblant le matériel métier ont été identifiés en septembre dernier et en 2017.
Modifiez les informations d’identification d’administrateur de vos appareils (nom d’utilisateur et mot de passe) dès que possible. Pour les routeurs, vous pouvez le faire dans l’interface Web ou l’application mobile de votre routeur (s’il en a une). Pour les autres appareils auxquels vous vous connectez avec leur nom d’utilisateur ou leurs mots de passe par défaut, consultez le manuel de l’appareil.
Si vous pouvez vous connecter en utilisant admin, mot de passe ou un champ vide, vous devez changer cela. Assurez-vous de modifier les informations d’identification par défaut chaque fois que vous configurez un nouvel appareil. Si vous avez déjà configuré des appareils et que vous avez négligé de changer le mot de passe, faites-le maintenant. Cette nouvelle variante de Mirai cible de nouvelles combinaisons de noms d’utilisateur et de mots de passe par défaut.
Si le fabricant de votre appareil a cessé de publier de nouvelles mises à jour du micrologiciel ou s’il a codé en dur les informations d’identification de l’administrateur et que vous ne pouvez pas les modifier, envisagez de remplacer l’appareil.
La meilleure façon de vérifier est de commencer sur le site Web de votre fabricant. Recherchez la page d’assistance de votre appareil et recherchez les avis concernant les mises à jour du micrologiciel. Vérifiez quand le dernier a été publié. Si cela fait des années depuis une mise à jour du micrologiciel, le fabricant ne prend probablement plus en charge l’appareil.
Vous pouvez également trouver des instructions pour modifier les informations d’identification d’administration sur le site Web d’assistance du fabricant de l’appareil. Si vous ne trouvez pas les mises à jour récentes du micrologiciel ou une méthode pour changer le mot de passe de l’appareil, il est probablement temps de remplacer l’appareil. Vous ne voulez pas laisser quelque chose de vulnérable en permanence connecté à votre réseau.
Si le dernier firmware que vous pouvez trouver date de 2012, vous devez remplacer votre appareil.
Le remplacement de vos appareils peut sembler drastique, mais s’ils sont vulnérables, c’est votre meilleure option. Les botnets comme Mirai ne disparaissent pas. Vous devez protéger vos appareils. Et, en protégeant vos propres appareils, vous protégerez le reste d’Internet.