Secu
Aïe ! Mirai contre-attaque…
Par Laurent Delattre, publié le 20 mars 2019
Mirai, le plus célèbre des botnets à s’en prendre à l’IoT, est de retour. Et, cette fois, il s’attaque également aux équipements IoT des entreprises…
Mirai est sans doute l’un des malwares les plus connus de la planète. Ce botnet s’est notamment fait connaître en faisant tomber le service DynDNS par une attaque DDoS (déni de service) de très grande ampleur lancée depuis des Webcams (l’opérateur OVH a également été victime d’une attaque par Mirai en 2016) ! Car la particularité de Mirai est de s’en prendre à l’IoT, aux objets connectés, plutôt qu’aux ordinateurs.
Depuis cette époque, le malware a connu de multiples variantes infectant un nombre de plus en plus varié d’appareils connectés. Si les Webcams restent une de ces cibles privilégiées, il cherche désormais à s’infiltrer dans n’importe quel objet connecté ayant un minimum de mémoire et de CPU pour servir de relai à des attaques DDoS. Ses nouvelles cibles privilégiées sont notamment les routeurs, les lecteurs multimédias, les téléviseurs connectés.
Les chercheurs de Palo Alto Networks viennent de révéler l’apparition d’une nouvelle variante de Mirai contenant désormais 27 exploits (ciblant des vulnérabilités IoT) dont 11 sont nouveaux.
Et parmi les nouveaux équipements visés par le malware se distinguent des cibles qui n’existent que dans les entreprises à l’instar du serveur de présentation sans fil WePresent WiPG 1000 (un boîtier qui permet de projeter l’écran de PC qui lui sont reliés en Wi-Fi sur le grand écran d’une salle de réunion), ou encore la solution d’affichage notamment pensée pour les hôtels, bars et halls d’accueil « SuperSign TV » de LG.
Et ce choix d’attaquer spécifiquement de l’IoT professionnel n’est pas innocent. Car d’une manière générale, les entreprises disposent de bande passante bien supérieure aux foyers. Infecter leurs équipements permet dès lors de porter des attaques DDoS beaucoup plus musclées et complexes à contrer.
Les autres équipements visés par les nouvelles failles proviennent notamment d’acteurs clés du réseau tels que Netgear, DLink et Zyxel. Mirai semble particulièrement apprécié tous les IoT animés par des versions un peu anciennes et minimalistes de Linux.
Ce retour en force de Mirai n’est cependant pas une surprise. Son code source a fuité sur Internet et n’importe quel cybercriminel disposant de compétences de base en programmation peut aisément venir l’enrichir. Dans son IoT Threat Report de Septembre 2018, Kaspersky Lab relevait que Mirai était à lui seul responsable de 21% des infections IoT détectées par l’éditeur de sécurité, loin devant Hajime (6%) et NyaDrop (3,4%).
Dans un récent billet, le chercheur Victor Chebyshev de Kaspersky rappelle aux entreprises comme aux particuliers les règles d’or pour se prémunir de Mirai :
* Toujours installer les patchs et mises à jour des firmwares de vos équipements connectés ;
* Systématiquement modifier les mots de passe par défaut de ces équipements par des mots de passe solides ;
* Redémarrer voir réaliser un reset de tout équipement jugé suspect, sans perdre de vue qui si ce redémarrage tend effectivement à éliminer la plupart des variantes de Mirai, il n’empêche nullement la réinfection de l’appareil ;
* Surveiller activement le trafic sortant de chaque appareil connecté, parce que les IoT connectés ont un trafic significativement plus élevé.
Sources:
Palo Alto : New Mirai Variant Targets Enterprise Wireless Presentation & Display Systems
Kaspersky Lab : Mirai goes Enterprise