Une étude révèle les entrailles du botnet Mirai
admin/123456
Le 24 août 2017 à 09h00
7 min
Internet
Internet
Une équipe de chercheurs de tous horizons s'est penchée sur l'historique du botnet Mirai, qui a paralysé une partie du Net américain en s'attaquant à l'infrastructure de Dyn, en octobre. Selon eux, l'entreprise américaine n'était pas la cible principale.
Depuis sa première apparition l'an dernier, Mirai a fait couler beaucoup d'encre. Sous ce nom, on retrouve d'abord un malware, qui a servi à infecter plusieurs centaines de milliers d'appareils connectés, notamment des routeurs et passerelles cellulaires, pour coordonner des attaques DDoS sur diverses cibles, grâce au botnet ainsi formé.
La plus spectaculaire a été dirigée le 21 octobre contre l'infrastructure de Dyn, qui gère les « zones DNS » de nombreux sites, notamment américains. Avec des pointes autour de 1 Tb/s, le service a été saturé pendant deux heures, rendant difficile d'accès des pans entiers du Net américain.
Près d'un an plus tard, un groupe de 19 universitaires et experts de diverses entreprises, telles qu'Akamai, Cloudflare ou Google ont publié les résultats d'une étude visant à déterminer l'origine de cette attaque, ainsi que sa cible réelle, dans le cadre de la conférence Usenix, qui se tenait la semaine dernière.
Anatomie d'un botnet
Dans leurs travaux, les chercheurs relèvent que les premières infections remontent au 1er août 2016. Dans les 20 premières heures de son existence, il touche déjà 65 000 appareils, avant de stabiliser sa population entre 200 000 et 300 000 machines zombies.
Historique de la propagation mesurée de Mirai
En plus de passerelles cellulaires, des caméras IP, des routeurs, des imprimantes et même des enregistreurs vidéo ont été touchés. Selon les chercheurs, la composition du réseau ainsi formée a été « largement influencée par les parts de marché et les décisions prises à la conception par un certain nombre de fabricants ». Des caméras IP du fabricant chinois XiongMai ont été rappelées en urgence suite à l'attaque, le mot de passe étant écrit en dur dans le code.
En d'autres termes, le malware était destiné à des cibles faciles d'accès et peu protégées. Dans le cas des caméras IP par exemple, elles sont souvent fournies avec un mot de passe par défaut aisé à deviner, ce qui en facilite grandement l'accès.
Le malware en lui-même comprenait d'ailleurs une liste de mots de passe paramétrés par défaut sur certains types d'appareils. Dès qu'un terminal est infecté, il scanne le réseau autour de lui à la recherche d'autres victimes potentielles. Une fois la nouvelle cible trouvée, il tente d'établir une connexion en choisissant aléatoirement 10 paires utilisateur/mot de passe parmi celles inscrites dans son code. Si l'opération réussit, les informations nécessaires à son contact sont transmises à un serveur, qui ordonne ensuite l'infection.
Liste de 46 mots de passe par défaut incluse dans le code source de Mirai au 30 septembre 2016
Les appareils touchés se trouvent par ailleurs dans un répertoire relativement limité de zones géographiques. « Le Brésil, la Colombie et le Vietnam comptent pour 41,5 % des infections », calculent les chercheurs. Une part disproportionnée au regard de la quantité d'objets connectés installés dans ces pays.
Les traces des attaques
Pendant les cinq mois d'existence du botnet, les chercheurs ont relevé 15 194 attaques DDoS distinctes, menées avec Mirai, visant 5 046 victimes. Dans le détail, 93,7 % du temps, une IP unique était ciblée, les assauts contre des sous-réseaux pèsent pour 3,9 % du total, tandis que ceux contre des noms de domaine pour seulement 2,4 %.
Parmi les cibles, si l'on parle souvent de Dyn qui a subi l'assaut le plus visible, d'autres sites moins connus ont subi le plus gros des attaques. Ainsi, 616 assauts ont été portés contre Lonestar Cell, un opérateur téléphonique au Liberia. Des assauts répétés qui ont pendant un temps laissé entendre qu'ils avaient réussi a perturber dans son ensemble la connectivité à Internet du pays, ce que les chercheurs n'ont pas été en mesure de pouvoir vérifier.
On note encore 318 autres attaques sur Sky Network, une grappe de serveurs Minecraft au Brésil. Un blog russe sur la cuisine a quant à lui dû essuyer 157 vagues différentes.
L'équipe a identifié 33 clusters distincts, c'est-à-dire des infrastructures indépendantes, potentiellement pilotés par des groupes de pirates différents. Le plus important, qui a attaqué Dyn et des services de jeux vidéo, aurait contenu au maximum 61 440 machines zombies, quand le deuxième (considéré comme l'original, derrière les attaques de Krebs on Security et OVH) affichait un pic de 58 335 bots. Les experts notent que les serveurs contrôlant ces réseaux sont pour la plupart apparus des semaines avant d'être liés au botnet. Pour eux, une analyse fine du DNS permettrait d'identifier en amont ces ressources pour prévenir les attaques.
Dyn n'était probablement pas la cible principale
Les chercheurs se sont particulièrement penchés sur le cas emblématique de Dyn. Ils sont parvenus à confirmer la version du déroulement de l'attaque fournie par l'entreprise, constatant 21 courtes attaques d'environ 25 secondes, suivies par d'autres, soutenues pendant une heure puis cinq heures puis encore dix heures. Toutefois, les assauts n'étaient pas uniquement dus à Mirai. Seules 71 % des IP qui ont attaqué Dyn seraient liées au botnet.
Par ailleurs, si les premiers assauts visaient clairement Dyn, les suivants montraient que plusieurs autres cibles étaient au menu. Parmi elles, on retrouve le PlayStation Network, le Xbox Live et l'infrastructure DNS de Microsoft. Les serveurs de jeu Nuclear Fallout étaient également dans le collimateur de Mirai, tout comme ceux de Steam. Les attaquants semblaient donc viser des infrastructures de jeu en ligne, et Dyn, en tant que prestataire de la plupart des services cités, aurait donc encaissé de gros dommages collatéraux, avec les conséquences que l'on connait.
Comment endiguer ce genre d'attaques ?
Les solutions qui permettraient de limiter l'ampleur de ce type d'attaque existent, et pour certaines ne seraient finalement pas si compliquées à mettre en place. La première n'est autre que le durcissement de la sécurité autour des objets connectés, une étape relativement aisée tant on part de loin. « Le botnet Mirai a démontré que même une attaque par dictionnaire peu sophistiquée est capable de compromettre des centaines de milliers d'appareils », notent les chercheurs.
Une première étape pourrait être de proposer des mots de passe par défaut aléatoires sur chaque appareil, afin d'éviter de laisser l'accès à quiconque sait taper « admin/admin ». Les objets connectés devraient également laisser leurs ports fermés par défaut et disposer d'une configuration réseau limitant l'accès aux terminaux se trouvant dans leur réseau local ou bien à des machines spécifiques... ce qui est rarement le cas.
Des mises à jour automatiques sur ces appareils pourraient également limiter les dégâts, à condition que leurs fabricants prennent le temps d'assurer le suivi nécessaire, ce qui n'est pas toujours le cas. Quant à assurer ces mises à jour sur le long terme afin de ne pas se retrouver dans une situation semblable à celle de Windows XP, avec des millions de machines ouvertes aux quatre vents, c'est une autre étape, qui semble encore un peu plus compliquée à atteindre.
Le botnet a servi d'électrochoc pour les autorités des deux côtés de l'Atlantique, les États-Unis et l'Union européenne cherchant des solutions rapides pour enfin sécuriser ces millions d'objets connectés. Les propositions rejoignent celles des chercheurs, avec un niveau minimal de sécurité, des mises à jour et l'obligation de fournir un logiciel sans failles connues. Un investissement dans la sécurité qui est jusqu'ici évité par les fabricants, qui misent avant tout sur le prix. Côté américain, la commande publique doit être le levier de la sécurisation, quand les Européens envisagent une (auto-)certification des objets connectés. Résultat au mieux dans quelques mois.
Une étude révèle les entrailles du botnet Mirai
-
Anatomie d'un botnet
-
Les traces des attaques
-
Dyn n'était probablement pas la cible principale
-
Comment endiguer ce genre d'attaques ?
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/08/2017 à 09h48
Le 24/08/2017 à 09h50
ce serait pas qd,in plutot ?
A+
Le 24/08/2017 à 09h52
qd;in (si tu es sur windows tu peux passer ton clavier en qwerty (US) en faisant alt+shift)
article très intéressant. merci beaucoup " />
Je pense qu’on n’a pas fini de voir ce genre de truc arriver
Le 24/08/2017 à 11h20
Le 24/08/2017 à 12h40
Oui, mais le problème est généralement inverse.
> Welcome to your new awesome IoT object
> warning: no password configured for administrator !
>
> Please enter the new administrator password: *
> Re-enter the new administrator password: *
> ok.
Tu as tapé deux fois “admin” sur ton clavier franchouillard, et l’objet anglophone à compris “qd;in”
Le 24/08/2017 à 15h00
ah ok, vu comme ça :)
Le 24/08/2017 à 17h19
je vois que dans la liste il y a quand même 2 bons gros mdp avec chiffres et lettres majuscules et minuscules. ils ont déjà dû passer un moment à bruteforcer ces 2 mdp.
Le 24/08/2017 à 17h32
Le 24/08/2017 à 19h04
Manufactor: alsVhNqdi
Product: BHfkzyNMZqjjTUx
User: gYwzxarX
Password: dnfYXdTTJdrXkmTSahc
" /> ??
Le 24/08/2017 à 19h59
À titre indicatif “12345” est le mot de passe par défaut des Sierra Wireless LS300 et probablement d’autres.
Le 24/08/2017 à 20h00
Seul XiongMai a compris comment protéger les objets connectés ! En stoppant la vente et en rappelant tout ce qui a été vendu !
Blague à part, c’est inquiétant de voir que cette façon de faire dure depuis des années et qu’elle n’a pas évoluer ! A côté de ça on chiffre toute ce qui se passe à la maison !
Le 24/08/2017 à 21h56
oui, y a plein d’entrées bizarres " />
(j’aime bien celui 2 lignes en dessous de 3M… le access : difficult va bien avec le nom de produit et sa version)
Le 25/08/2017 à 09h12
Salut à tous,
la question qui reste à soulever est : peut-on faire confiance à un constructeur aujourd’hui pour fournir de l’iot sécurisé, notamment des caméras ? Un caméra Pi est-elle mieux sécurisée ?
Si vous avez des pistes, je suis preneur.
Ciao
Le 25/08/2017 à 13h30
Le 25/08/2017 à 18h50
Un bonne chose à faire serait de changer les mots de passes par défaut si il y en a.
Le 24/08/2017 à 09h18
Les français ont de la chance… le mot de passe “qd;in” n’est pas dans la liste.
" />
Le 24/08/2017 à 09h19
le mdp par défaut “fucker” " />
comment ils peuvent analyser après coup l’évolution de l’infection dans le temps ? Y’a des logs ? " />
Le 24/08/2017 à 09h29
Le 24/08/2017 à 09h30
Le 24/08/2017 à 09h30
haha les mots de passe " />
Je pense à ce commitstrip : http://www.commitstrip.com/fr/2016/10/14/good-old-adminpassword/?setLocale=1
Le 24/08/2017 à 09h30
Le 24/08/2017 à 09h32
En même temps, la liste ne comprend que les mots de passe, pas les logins " />
Le 24/08/2017 à 09h35
Mirai est open source, y a pas grand chose à chercher " />
Le 24/08/2017 à 09h46
Seuls les vrais qd;inistrqteurs peuvent comprendre. " />