Qu'est-ce que le botnet Mirai ?

Le logiciel malveillant Mirai exploite les failles de sécurité dans les appareils IoT et a le potentiel d'exploiter la puissance collective de millions d'appareils IoT dans des botnets, et de lancer des attaques.

Share facebook icon linkedin icon twitter icon email icon

Mirai Botnet

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • En savoir plus sur le botnet Mirai
  • Découvrez comment les botnets mutent
  • Découvrez pourquoi les botnets sont dangereux
  • Découvrez comment les appareils IoT et les botnets sont reliés

Qu'est-ce que Mirai ?

Mirai est un logiciel malveillant qui infecte les appareils intelligents qui fonctionnent grâce à des processeurs ARC, en les transformant en un réseau de bots ou « zombies » contrôlés à distance. Ce réseau de bots, appelé botnet, est souvent utilisé pour lancer des attaques DDoS .

Un logiciel malveillant (ou malware, abréviation de « malicious software ») est un terme générique qui recouvre les vers informatiques, les virus, les chevaux de Troie, les rootkits et les logiciels espions (spyware).

En septembre 2016, les auteurs du logiciel malveillant Mirai ont lancé une attaque DDoS sur le site web d'un expert en sécurité bien connu. Une semaine plus tard, ils mirent en ligne le code source dans le monde, peut-être dans une tentative de dissimuler leur trace. Ce code a été rapidement reproduit par d'autres cybercriminels et serait à l'origine de l'attaque massive contre DYN qui a rendu indisponible de nombreux sites utilisant le service DYN Managed DNS en octobre 2016.

Comment fonctionne Mirai ?

Mirai recherche sur Internet des appareils IoT fonctionnant à partir d'un processeur ARC. Ce processeur exécute une version allégée du système d'exploitation Linux. Si la combinaison nom d'utilisateur et mot de passe par défaut n'est pas modifiée, Mirai peut se connecter à l'appareil et l'infecter.

IoT est l'acronyme de Internet of Things, l'Internet des objets, une expression sophistiquée pour désigner les appareils intelligents qui peuvent se connecter à Internet. Ces appareils sont très variés : interphones bébé, véhicules, routeurs de réseau, machines agricoles, appareils médicaux, dispositifs de surveillance de l'environnement, appareils électroménagers, magnétoscope numériques, caméras CC, écouteurs ou détecteurs de fumée.

Le botnet Mirai a utilisé cent mille appareils IoT détournés pour rendre indisponible l'accès aux services de Dyn.

Qui étaient les créateurs du botnet Mirai ?

Paras Jha, 21 ans, et Josiah White, 21 ans, ont cofondé Protraf Solutions, une société offrant des services d'atténuation des attaques DDoS. Il s'agissait d'un cas classique de racket : leur entreprise offrait des services d'atténuation DDoS aux entreprises mêmes auxquelles s'attaquait leur logiciel malveillant.

Pourquoi le logiciel malveillant Mirai reste-t-il dangereux ?

Mirai est en train de muter.

Bien que ses créateurs originaux aient été arrêtés, leur code source subsiste. Il a donné naissance à des variantes telles que Okiru, Satori, Masuta et PureMasuta. PureMasuta, par exemple, est capable d'utiliser à son profit le bug HNAP dans le protocole D-Link. La souche OMG, d'autre part, transforme les appareils IoT en un réseau de proxies qui permettent aux cybercriminels de rester anonymes.

Il y a également le puissant botnet récemmment découvert, surnommé IoTrooper ou Reaper, qui est capable de compromettre les dispositifs IoT à un rythme beaucoup plus rapide que Mirai. Reaper est capable de cibler un plus grand nombre de fabricants d'appareils et a un contrôle beaucoup plus important sur ses bots.

Quels sont les différents modèles de botnet ?

Botnets centralisés

Si l'on compare un botnet à une pièce de théâtre, le serveur C & C (Command and Control Server, également appelé C2) est le metteur en scène. Les acteurs de cette pièce sont les différents bots qui ont été compromis après avoir été infectés par un logiciel malveillant et qui font partie du botnet.

Lorsque le logiciel malveillant infecte un appareil, le bot envoie des signaux temporisés pour informer le C&C qu'il existe désormais. Cette session de connexion est maintenue ouverte jusqu'à ce que le C&C soit prêt à commander au bot de passer à l'action : il peut s'agir de l'envoi de spam, de craquage de mots de passe, d'attaques DDoS, etc.

Dans un botnet centralisé, le C&C est capable de transmettre les commandes du botmaster directement aux bots. Cependant, le C&C est également un point de défaillance unique : s'il est supprimé, le botnet devient inefficace.

C&C contrôlé par niveaux

Le contrôle du botnet peut être organisé en plusieurs niveaux, avec plusieurs C&C. Des groupes de serveurs dédiés peuvent être désignés dans un but spécifique, par exemple, pour organiser les bots en sous-groupes, pour fournir du contenu désigné, etc. Cela rend le botnet plus difficile à neutraliser.

Botnets décentralisés

Les botnets peer-to-peer (P2P) constituent la prochaine génération de botnets. Plutôt que de communiquer avec un serveur centralisé, les robots P2P agissent à la fois comme un serveur de commandes et comme un client qui reçoit des commandes. Cela évite le problème de point de défaillance unique inhérent aux botnets centralisés. Étant donné que les botnets P2P fonctionnent sans C&C, ils sont plus difficiles à arrêter. Trojan.Peacomm et Stormnet sont des exemples de logiciels malveillants qui commandent des botnets P2P.

Comment les logiciels malveillants transforment-ils les appareils IoT en bots ou zombies ?

En général, l'hameçonnage (ou phishing) par courrier électronique est un moyen manifestement efficace d'infecter l'ordinateur. La victime est incitée à cliquer sur un lien pointant vers un site web malveillant ou à télécharger une pièce jointe infectée. Souvent, le code malveillant est écrit de telle manière que les logiciels antivirus courants ne sont pas en mesure de le détecter.

Dans le cas de Mirai, l'utilisateur a simplement négligé de changer le nom d'utilisateur et le mot de passe par défaut sur un appareil nouvellement installé.

Quel est le lien entre Mirai et la fraude aux clics ?

Pay-per-click (PPC) ou paiement par clic, également connu sous le nom de coût par clic (CPC), est une forme de publicité en ligne dans laquelle une entreprise paie un site web pour héberger sa publicité. La rémunération dépend du nombre de visiteurs de ce site qui ont cliqué sur cette annonce.

Lorsque les données CPC sont manipulées frauduleusement, on parle de fraude aux clics. Cela peut être fait en faisant cliquer manuellement des internautes sur l'annonce, en utilisant un logiciel automatisé ou à l'aide de bots. Grâce à ce processus, des profits frauduleux peuvent être générés pour le site web au détriment de la société qui a placé ces annonces.

Les auteurs originaux de Mirai ont été reconnus coupables d'avoir loué leur botnet pour des attaques DDoS et des fraudes aux clics.

Pourquoi les botnets sont-ils dangereux ?

Les botnets peuvent avoir un impact sur pratiquement tous les aspects de la vie quotidienne, que les personnes utilisent ou non des appareils IoT, ou même Internet. Les botnets peuvent :

  • Attaquer les FAI, entraînant parfois un déni de service du trafic normal
  • Envoyer des courriers indésirables
  • Lancer des attaques DDoS et mettre hors service des sites web et des API
  • Effectuer une fraude aux clics
  • Résoudre les défis faibles CAPTCHA sur les sites web afin d'imiter le comportement humain lors des connexions
  • Voler des informations de carte de crédit
  • Demander une rançon aux entreprises en les menaçant d'attaques DDoS

Pourquoi la prolifération des réseaux de botnets est-elle si difficile à contenir ?

Il existe de nombreuses raisons qui expliquent pourquoi il est si difficile d'arrêter la prolifération des réseaux de botnets :

Propriétaires d'appareils IoT

Il n'y a aucun coût ni interruption de service, ils n'ont donc aucune motivation particulière à sécuriser l'appareil intelligent.

Les systèmes infectés peuvent être nettoyés en étant redémarrés, mais comme l'analyse des bots potentiels se produit à un rythme constant, il est possible que les appareils soient réinfectés quelques minutes après le redémarrage. Les utilisateurs doivent en fait changer le mot de passe par défaut immédiatement après le redémarrage ou empêcher l'appareil d'accéder à Internet tant qu'ils n'ont pas réinitialisé le firmware et modifié le mot de passe hors ligne. La plupart des propriétaires d'appareils n'ont ni les compétences, ni la motivation pour le faire.

FAI

L'augmentation du trafic sur leur réseau à partir de l'appareil infecté est souvent minime par rapport au trafic généré par le streaming multimédia, il ne sont donc pas très incités à traiter le problème.

Fabricants d'appareils

Les fabricants d'appareils n'ont aucun intérêt particulier à investir dans la sécurité des appareils bon marché. Les tenir responsables des attaques pourrait être un moyen de forcer le changement, mais des mesures coercitives pourraient être inefficaces dans les régions où l'application de la loi est laxiste.

Ignorer la sécurité des appareils est très risqué : Mirai, par exemple, est capable de désactiver les logiciels antivirus, ce qui rend sa détection difficile.

Magnitude

Plus d'un milliard et demi d'appareils équipés d'un processeur ARC inonde le marché chaque année. Ce simple nombre vertigineux d'appareils susceptibles d'être enrôlés dans des réseaux de botnets puissants signifie que l'impact possible des variantes de ces logiciels malveillants a augmenté.

Simplicité

Les kits de botnet prêts à l'emploi ne nécessitent pas de connaissances techniques particulières. Pour un coût compris entre 14,99 $ et 19,99 $, un botnet peut être loué pour un mois entier. Voir Qu'est-ce qu'un Booter/Stresser DDoS ? pour plus de détails.

Normes mondiales de sécurité IoT

Il n'y a pas d'entité mondiale ni de consensus pour définir et appliquer les normes de sécurité IoT.

Bien que des correctifs de sécurité soient disponibles pour certains appareils, les utilisateurs peuvent ne pas avoir les compétences ou la motivation nécessaires pour les mettre à jour. De nombreux fabricants d'appareils bas de gamme n'offrent aucun type de maintenance. Pour ceux qui procèdent à une mise à jour, celle-ci n'est souvent pas à long terme. Il n'y a également aucun moyen de déclasser les appareils une fois que les mises à jour ne sont plus disponibles, ce qui les rend indéfiniment non sécurisés.

Application de la loi à l'échelle mondiale

La difficulté de traquer et de poursuivre les créateurs de botnets rend difficile d'endiguer la prolifération de ces botnets. Il n'existe pas d'équivalent mondial d'Interpol (Organisation internationale de police criminelle) pour la cybercriminalité, avec les compétences d'enquête correspondantes. Les forces de l'ordre du monde entier ne sont généralement pas en mesure de suivre les cybercriminels sur le terrain des dernières technologies.

De nombreux botnets utilisent désormais une technique DNS appelée Fast Flux afin de masquer les domaines qu'ils utilisent pour télécharger des logiciels malveillants ou pour héberger des sites de hameçonnage. Cela les rend extrêmement difficiles à suivre et à éliminer.

L'infection par botnet dégrade-t-elle les performances des appareils IoT ?

C'est possible. De temps à autre, les appareils infectés peuvent fonctionner plus lentement, mais dans l'ensemble ils fonctionnent comme prévu. Les propriétaires ne sont pas forcément motivés pour trouver des moyens d'éliminer l'infection.

Addendum

Une loi sur le bureau du gouverneur de Californie, Jerry Brown, exige que les appareils IoT disposent de fonctionnalités de sécurité raisonnables « adaptées à la nature et à la fonction de l'appareil ». Cette loi doit entrer en vigueur en janvier 2020.

Pourquoi cette législation est-elle si importante ? Les sociétés ne peuvent pas négliger le marché juteux de la Californie. Pour pouvoir vendre en Californie, elles devront améliorer la sécurité de leurs appareils. Cela profitera à tous les États.