Mirai (programme malveillant) - Mirai (malware)
| Auteur(s) original(aux) | Paras Jha, Josiah White et Dalton Norman |
|---|---|
| Dépôt | |
| Écrit en | C (agent), Go (contrôleur) |
| Système opérateur | Linux |
| Taper | Botnet |
| Licence | Licence publique générale GNU v3.0 |
| Site Internet |
github 
|
Mirai ( japonais :未来, lit. « futur ») est un logiciel malveillant qui transforme les appareils en réseau exécutant Linux en robots contrôlés à distance qui peuvent être utilisés dans le cadre d'un réseau de zombies lors d'attaques de réseau à grande échelle. Il cible principalement les appareils grand public en ligne tels que les caméras IP et les routeurs domestiques . Le botnet Mirai a été découvert pour la première fois en août 2016 par MalwareMustDie , un groupe de recherche sur les logiciels malveillants à chapeau blanc , et a été utilisé dans certaines des attaques par déni de service distribué (DDoS) les plus importantes et les plus perturbatrices , y compris une attaque le 20 septembre 2016 contre la sécurité informatique. le site Web du journaliste Brian Krebs , une attaque contre l'hébergeur français OVH et la cyberattaque Dyn en octobre 2016 . Selon un journal de discussion entre Anna-senpai et Robert Coelho, Mirai a été nommé d'après la série animée télévisée de 2011 Mirai Nikki .
Le logiciel était initialement utilisé par les créateurs pour les serveurs DDoS Minecraft et les sociétés offrant une protection DDoS à ces serveurs, les auteurs utilisant Mirai pour exploiter une raquette de protection . Le code source de Mirai a ensuite été publié sur Hack Forums en tant qu'open-source . Depuis la publication du code source, les techniques ont été adaptées dans d'autres projets de logiciels malveillants.
Logiciels malveillants
Les appareils infectés par Mirai recherchent en permanence sur Internet l' adresse IP des appareils Internet des objets (IoT). Mirai inclut un tableau de plages d'adresses IP qu'il n'infectera pas, y compris les réseaux privés et les adresses attribuées au service postal des États-Unis et au ministère de la Défense .
Mirai identifie ensuite les appareils IoT vulnérables à l'aide d'un tableau de plus de 60 noms d'utilisateur et mots de passe par défaut courants, et s'y connecte pour les infecter avec le malware Mirai. Les appareils infectés continueront de fonctionner normalement, à l'exception d'une lenteur occasionnelle et d'une utilisation accrue de la bande passante . Un appareil reste infecté jusqu'à ce qu'il soit redémarré , ce qui peut impliquer simplement d'éteindre l'appareil et de le rallumer après une courte attente. Après un redémarrage, à moins que le mot de passe de connexion ne soit modifié immédiatement, l'appareil sera réinfecté en quelques minutes. Lors de l'infection, Mirai identifiera tout malware "concurrent", le supprimera de la mémoire et bloquera les ports d'administration à distance.
Les appareils Victim IoT sont identifiés en « entrant d'abord dans une phase d'analyse rapide où ils ont envoyé de manière asynchrone et « sans état » des sondes TCP SYN à des adresses IPv4 pseudo-aléatoires, à l'exclusion de celles d'une liste noire IP codée en dur, sur les ports Telnet TCP 23 et 2323 ». Si un appareil IoT répond à la sonde, l'attaque entre alors dans une phase de connexion par force brute. Au cours de cette phase, l'attaquant essaie d'établir une connexion telnet en utilisant des paires de nom d'utilisateur et de mot de passe prédéterminées à partir d'une liste d'informations d'identification. La plupart de ces connexions sont des noms d'utilisateur et des mots de passe par défaut du fournisseur IoT. Si l'appareil IoT autorise l'accès Telnet, l'adresse IP de la victime, ainsi que les informations d'identification utilisées avec succès, sont envoyées à un serveur de collecte.
Il existe des centaines de milliers d'appareils IoT qui utilisent des paramètres par défaut, ce qui les rend vulnérables aux infections. Une fois infecté, l'appareil surveillera un serveur de commande et de contrôle qui indique la cible d'une attaque. La raison de l'utilisation du grand nombre d'appareils IoT est de contourner certains logiciels anti-DoS qui surveillent l'adresse IP des demandes entrantes et filtrent ou configurent un blocage s'il identifie un modèle de trafic anormal, par exemple, si trop de demandes proviennent d'une adresse IP particulière. D'autres raisons incluent la possibilité de mobiliser plus de bande passante que l'auteur ne peut en assembler seul et d'éviter d'être retrouvé.
Mirai en tant que menace liée aux appareils de l'Internet des objets (IoT) n'a pas été arrêtée après l'arrestation des acteurs. Certains pensent que d'autres acteurs utilisent le code source du malware Mirai sur GitHub pour faire évoluer Mirai vers de nouvelles variantes . Ils spéculent que l'objectif est d'étendre son nœud de botnet à de nombreux autres appareils IoT. Le détail des progrès récents de ces variantes est répertorié dans les paragraphes suivants.
Le 12 décembre 2017, les chercheurs ont identifié une variante de Mirai exploitant une faille zero-day dans les routeurs Huawei HG532 pour accélérer l' infection des botnets Mirai , mettant en œuvre deux exploits connus liés à SOAP sur l'interface Web des routeurs, CVE-2014-8361 et CVE-2017-17215. Cette version Mirai s'appelle "Satori".
Le 14 janvier 2018, une nouvelle variante de Mirai surnommée « Okiru » ciblant déjà les processeurs embarqués populaires comme ARM, MIPS, x86, PowerPC et autres a été trouvée ciblant pour la première fois les appareils Linux basés sur des processeurs ARC . Le processeur Argonaut RISC Core (en abrégé : processeurs ARC ) est le deuxième processeur 32 bits embarqué le plus populaire, livré dans plus de 1,5 milliard de produits par an, notamment des ordinateurs de bureau, des serveurs, des radios, des appareils photo, des appareils mobiles, des compteurs d'électricité, des téléviseurs, des flashs lecteurs, automobile, périphériques réseau (concentrateurs intelligents, modems TV, routeurs, wifi) et Internet des objets. Seul un nombre relativement restreint d'appareils basés sur ARC exécutent Linux et sont donc exposés à Mirai.
Le 18 janvier 2018, un successeur de Mirai serait conçu pour détourner les opérations de minage de crypto-monnaie .
Le 26 janvier 2018, deux botnets similaires de variante Mirai ont été signalés, dont la version la plus modifiée arme l'exploit du routeur EDB 38722 D-Link pour enrôler d'autres appareils IoT vulnérables. La vulnérabilité du protocole HNAP (Home Network Administration Protocol) du routeur est utilisée pour créer une requête malveillante vers les routeurs exploités qui peuvent contourner l'authentification, pour ensuite provoquer une exécution de code à distance arbitraire. La version la moins modifiée de Mirai est appelée "Masuta" (d'après la translittération japonaise de "Master"), tandis que la version la plus modifiée est appelée "PureMasuta".
En mars 2018, une nouvelle variante de Mirai, surnommée "OMG", est apparue avec des configurations supplémentaires pour cibler les appareils IoT vulnérables et les transformer en serveurs proxy. De nouvelles règles de pare-feu qui permettent au trafic de passer par les ports HTTP et SOCKS générés ont été ajoutées aux configurations du code Mirai. Une fois ces ports ouverts au trafic, OMG met en place 3proxy – un logiciel open source disponible sur un site Web russe .
Entre mai et juin 2018, une autre variante de Mirai, surnommée "Wicked", est apparue avec des configurations supplémentaires pour cibler au moins trois exploits supplémentaires, dont ceux affectant les routeurs Netgear et les CCTV-DVR. Wicked analyse les ports 8080, 8443, 80 et 81 et tente de localiser les appareils IoT vulnérables et non corrigés s'exécutant sur ces ports. Les chercheurs soupçonnent que le même auteur a créé les botnets Wicked, Sora, Owari et Omni.
Début juillet 2018, il a été signalé qu'au moins treize versions du malware Mirai avaient été détectées infectant activement l' Internet des objets (IoT) Linux sur Internet, et trois d'entre elles ont été conçues pour cibler des vulnérabilités spécifiques en utilisant une preuve de concept d'exploit, sans lancer de brute. -forcer l'attaque à l'authentification par défaut des informations d'identification. Le même mois, il a été publié un rapport sur la campagne d'infection des logiciels malveillants Mirai sur les appareils Android via Android Debug Bridge sur TCP/5555, qui est en fait une fonctionnalité facultative du système d'exploitation Android, mais il a été découvert que cette fonctionnalité semble être activée. sur certains téléphones Android.
Fin 2018, une variante de Mirai surnommée "Miori" a commencé à se propager via une vulnérabilité d'exécution de code à distance dans le framework ThinkPHP, affectant les versions 5.0.23 à 5.1.31. Cette vulnérabilité est continuellement exploitée par les variantes évoluées de Mirai, baptisées "Hakai" et "Yowai" en janvier 2019, et la variante "SpeakUp" en février 2019.
Utilisation dans les attaques DDoS
Mirai a été utilisé, aux côtés de BASHLITE , dans l'attaque DDoS du 20 septembre 2016 sur le site Krebs on Security qui a atteint 620 Gbit/s. Ars Technica a également signalé une attaque à 1 Tbit/s contre l'hébergeur français OVH .
Le 21 Octobre 2016, plusieurs grandes attaques DDoS dans DNS services de fournisseur de services DNS Dyn se sont produits en utilisant Mirai logiciels malveillants installés sur un grand nombre de dispositifs IdO , dont beaucoup utilisaient encore leurs noms d' utilisateur par défaut et les mots de passe. Ces attaques ont entraîné l'inaccessibilité de plusieurs sites Web de grande envergure, dont GitHub , Twitter , Reddit , Netflix , Airbnb et bien d'autres. L'attribution de l'attaque Dyn au botnet Mirai a été initialement rapportée par Level 3 Communications.
Mirai s'est révélé plus tard avoir été utilisé lors des attaques DDoS contre l'Université Rutgers de 2014 à 2016, qui ont empêché les professeurs et les étudiants du campus d'accéder à Internet extérieur pendant plusieurs jours à la fois. De plus, une défaillance du service central d'authentification de l'université a entraîné l'indisponibilité des inscriptions aux cours et d'autres services pendant les périodes critiques du semestre universitaire. L'université aurait dépensé 300 000 $ en consultation et augmenté le budget de cybersécurité de l'université de 1 million de dollars en réponse à ces attaques. L'université a cité les attaques parmi les raisons de l'augmentation des frais de scolarité et des frais pour l'année scolaire 2015-2016. Une personne sous le pseudonyme "exfocus" a revendiqué la responsabilité des attaques, déclarant dans un Reddit AMA sur le subreddit /r/Rutgers que l'utilisateur était un étudiant de l'école et que les attaques DDoS étaient motivées par des frustrations avec le système de bus de l'université . Le même utilisateur a ensuite affirmé dans une interview avec un blogueur basé dans le New Jersey qu'il avait menti sur son affiliation à l'université et que les attaques étaient financées par un client anonyme. Le chercheur en sécurité Brian Krebs a ensuite allégué que l'utilisateur était en effet un étudiant à l'Université Rutgers et que cette dernière interview avait été donnée dans le but de distraire les enquêteurs.
Le personnel de Deep Learning Security a observé la croissance régulière des botnets Mirai avant et après l'attaque du 21 octobre.
Mirai a également été utilisé dans une attaque contre l' infrastructure Internet du Libéria en novembre 2016. Selon l'expert en sécurité informatique Kevin Beaumont, l'attaque semble provenir de l'acteur qui a également attaqué Dyn.
Autres incidents notables
Fin novembre 2016, environ 900 000 routeurs , de Deutsche Telekom et produits par Arcadyan, étaient tombés en panne en raison de l'échec des tentatives d'exploitation du TR-064 par une variante de Mirai, ce qui a entraîné des problèmes de connectivité Internet pour les utilisateurs de ces appareils. Alors que TalkTalk corrigeait plus tard leurs routeurs, une nouvelle variante de Mirai a été découverte dans les routeurs TalkTalk.
Un Britannique soupçonné d'être à l'origine de l'attaque a été arrêté à l'aéroport de Luton, selon la BBC .
Identité de l'auteur
Le 17 janvier 2017, le journaliste en sécurité informatique Brian Krebs a publié un article sur son blog, Krebs on Security, dans lequel il divulguait le nom de la personne qui, selon lui, aurait écrit le malware. Krebs a déclaré que l'identité réelle probable d'Anna-senpai (du nom d'Anna Nishikinomiya, un personnage de Shimoneta ), l'auteur de Mirai, était en fait Paras Jha, le propriétaire d'une société de services d'atténuation DDoS ProTraf Solutions et un étudiant de Rutgers Université . Dans une mise à jour de l'article original, Paras Jha a répondu à Krebs et a nié avoir écrit Mirai. Le FBI aurait interrogé Jha sur son implication dans la cyberattaque Dyn d'octobre 2016 . Le 13 décembre 2017, Paras Jha, Josiah White et Dalton Norman ont plaidé coupables pour des crimes liés au botnet Mirai.
Daniel Kaye, 29 ans, également connu sous le nom de "BestBuy", "Popopret" ou "Spiderman", a été accusé d'"utiliser un réseau d'ordinateurs infectés connu sous le nom de botnet Mirai pour attaquer et faire chanter les banques Lloyds Banking Group et Barclays ", selon à l'ANC. Il a été extradé d'Allemagne vers le Royaume-Uni selon le même rapport. Kaye a également plaidé coupable devant le tribunal pour avoir détourné plus de 900 000 routeurs du réseau de Deutsche Telekom.
Les chercheurs désignent le pseudonyme "Nexus Zeta" comme responsable de l'auteur de nouvelles variantes de Mirai (surnommées Okiru, Satori, Masuta et PureMasuta). Le 21 août 2018, le grand jury a inculpé Kenneth Currin Schuchman, 20 ans, alias Nexus. Zeta, de provoquer sciemment la transmission d'un programme, l' information, le code et les commandes, et à la suite d' un tel comportement intentionnellement causé des dommages sans autorisation à des ordinateurs protégés, selon l'acte d' accusation déposé au tribunal de district des États - Unis à Anchorage , suivi par l'arrestation et procès du suspect.
Dans la culture populaire
L' album Four Pieces for Mirai du musicien et compositeur électronique américain James Ferraro en 2018 fait référence à Mirai dans son récit en cours.
Voir également
- Malware Linux
- Attaque par déni de service
- BASHLITE – un autre malware IoT notable
- Linux.Darlloz – un autre malware IoT notable
- Remaiten – un autre bot IoT DDoS
- Linux.Wifatch
- Hajime
- BriqueteurBot