Les botnets Mirai sont loin d’avoir tiré leur révérence

Les botnets Mirai sont loin d'avoir tiré leur révérence

Les botnets construits à partir de la base de code Mirai continuent de faire des ravages dans l’arène technologique, les attaquants profitant du laxisme de la sécurité des objets et équipements connectés dans des attaques généralisées.

Les ordinateurs et autres appareils connectés, y compris l’internet des objets et le stockage NAS, sont compromis via des identifiants faibles, des vulnérabilités, des kits d’exploitation et d’autres faiblesses de sécurité.

Ces systèmes rejoignent un réseau d’appareils qui peuvent être commandés pour effectuer des activités malveillantes.

Les types d’attaques couramment associés aux botnets sont le lancement d’attaques par déni de service distribué (DDoS), les attaques par force brute conduisant au vol d’informations et au déploiement de ransomware, et l’installation de logiciels de minage de crypto-monnaies sur des serveurs vulnérables exposés sur Internet.

publicité

L’héritage de Mirai

Le plus connu de ces botnets est sans doute Mirai, qui a fait ses débuts avec des attaques DDoS catastrophiques en 2016 contre le fournisseur de DNS Dyn et le site Web de l’expert en cybersécurité et du journaliste Brian Krebs.

Le code source de Mirai a ensuite été publié en ligne, ouvrant la voie à la création de variantes dont Okiru, Satori et Masuta.

Malgré l’âge du botnet original, l’utilisation de son code dans des versions mutantes signifie que Mirai représente toujours un risque pour les organisations.

Mardi, Intel 471 a publié un nouveau rapport sur la fracturation de Mirai en de nouvelles formes et signale une recrudescence des attaques au cours des années 2020 et 2021 contre des appareils connectés grace aux variantes de ce botnet.

“Les acteurs malveillants ont saisi l’opportunité de créer non seulement de grands botnets, mais aussi de voler des données confidentielles sur des appareils connectés liés à des organisations compromises, et de les vendre potentiellement sur des marchés clandestins”, indiquent les chercheurs.

Comme le nombre d’objets connectés devrait atteindre environ 30,9 milliards d’ici 2025, l’équipe s’attend à ce que la menace – et la puissance globale – de ces botnets ne fasse que s’étendre.

À l’heure actuelle, Gafgyt et Mirai, ainsi que de multiples botnets basés sur le code de Mirai, tels que BotenaGo, Echobot, Loli, Moonet et Mozi, sont utilisés pour cibler des appareils principalement basés en Europe et en Amérique du Nord.

Les acteurs malveillants utilisent couramment les vulnérabilités ci-dessous dans des kits d’exploitation pour compromettre les objets connectés et augmenter la puissance de leurs réseaux :

  • CVE-2018-4068, CVE-2018-4070 et CVE-2018-4071 : Fuites d’informations dans Sierra Wireless AirLink (ES450 FW version 4.9.3)
  • CVE-2019-12258, CVE-2019-12259, CVE-2019-12262 et CVE-2019-12264 : Vulnérabilités DoS dans le RTOS VxWorks de Wind River Systems
  • CVE-2019-12255, CVE-2019-12260, CVE-2019-12261 et CVE-2019-12263 : Fautes de corruption de mémoire dans le RTOS VxWorks.
  • CVE-2021-28372 : Un bogue de contournement d’authentification dans le SDK P2P de ThroughTek Kalay (versions 3.1.5 et antérieures)
  • CVE-2021-31251 : Un problème d’authentification incorrecte dans le firmware de Chiyu Technology

Log4Shell dans l’arsenal

Un chercheur d’Akamai a découvert une tentative d’utilisation des vulnérabilités Log4J visant les equipements réseau ZyXEL pour “infecter et aider à la prolifération des logiciels malveillants utilisés par le botnet Mirai.”

Larry Cashdollar, membre de l’équipe de réponse aux incidents de sécurité d’Akamai Technologies, explique que Zyxel a pu être spécifiquement visé parce que la société a publié un post de blog indiquant qu’il était touché par la vulnérabilité Log4J.

“Le premier échantillon que j’ai examiné contenait des fonctions permettant de rechercher d’autres dispositifs vulnérables. Tous les dispositifs ou frameworks logiciels répertoriés dans les fonctions ci-dessous sont vulnérables à l’exécution de code à distance”, a-t-il écrit.

” Le deuxième échantillon […] ne contenait plus les fonctions d’exploitation ci-dessus, mais il contenait les fonctions d’attaque standard de Mirai. Il semble que les vecteurs d’attaque ci-dessus aient été supprimés au profit de l’exploitation de Log4j. Sur la base des noms des fonctions d’attaque et de leurs instructions, je pense que cet échantillon fait partie de la famille des malwares Mirai.”

L’un des aspects intéressants de ce malware est que “si vous disposez d’utilitaires d’extraction automatique de chaînes pour les échantillons de malware qui se connectent à une instance Log4j vulnérable, cette charge utile pourrait s’exécuter.”

“Ce faisant, vous pourriez éventuellement, selon votre configuration, infecter votre système d’analyse des logiciels malveillants. Encore une fois, l’application de correctifs à vos systèmes vulnérables est la clé pour protéger vos serveurs contre la compromission”, a déclaré Cashdollar.

Zyxel a publié un avis de sécurité sur le problème. La société est consciente de la vulnérabilité et indique qu’elle n’affecte que la gamme de produits NetAtlas Element Management System.

“Après une enquête approfondie, nous avons identifié un seul produit vulnérable qui est dans sa période de garantie et de support, et nous allons publier un correctif pour résoudre le problème, comme indiqué dans le tableau ci-dessous”, ont-ils écrit.

Zyxel a déclaré qu’une méthode de protection temporaire a été publiée le 20 décembre et a invité les personnes qui en ont besoin à les contacter pour obtenir le fichier. Un correctif sera disponible d’ici la fin du mois de février.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *