Découvert pour la première fois en 2016, le botnet Mirai a repris un nombre sans précédent d'appareils et infligé des dégâts considérables à Internet. Maintenant, il est de retour et plus dangereux que jamais.
Le Mirai, nouveau et amélioré, infecte plus de périphériques
Le 18 mars 2019, des chercheurs en sécurité de PaloAlto Networks a dévoilé que Mirai avait été modifié et mis à jour pour atteindre le même objectif à plus grande échelle. Les chercheurs ont découvert que Mirai utilisait 11 nouvelles exportations (ce qui porte le total à 27) et une nouvelle liste de références de connexion par défaut à essayer. Certains des changements concernent le matériel professionnel, notamment les téléviseurs LG Supersign et les systèmes de présentation sans fil WePresent WiPG-1000.
Mirai peut être encore plus puissant s'il peut prendre en charge le matériel d'entreprise et réquisitionner les réseaux d'entreprise. Comme le dit Ruchna Nigam, chercheuse principale sur les menaces chez Palo Alto Networks:
Ces nouvelles fonctionnalités offrent au botnet une grandesurface d'attaque. En particulier, le ciblage des liens d'entreprise lui confère également un accès à une bande passante plus importante, ce qui se traduit par une puissance de feu accrue pour le réseau de robots pour les attaques par DDoS.
Cette variante de Miria continue à attaquerrouteurs, caméras et autres périphériques connectés au réseau. À des fins destructives, plus il y a de périphériques infectés, mieux c'est. Ironiquement, la charge malveillante était hébergée sur un site Web faisant la promotion d’une entreprise traitant de «sécurité électronique, intégration et surveillance des alarmes».
Mirai est un botnet qui attaque les périphériques IOT
Si vous ne vous en souvenez pas, en 2016, le botnet Miraisemblait être partout. Il ciblait les routeurs, les systèmes DVR, les caméras IP et plus encore. Ceux-ci sont souvent appelés dispositifs Internet of Things (IoT) et incluent des dispositifs simples tels que des thermostats qui se connectent à Internet. Les botnets infectent des groupes d’ordinateurs et d’autres périphériques connectés à Internet, puis forcent ces ordinateurs infectés à attaquer des systèmes ou à atteindre d’autres objectifs de manière coordonnée.
Mirai est allé après les appareils avec admin par défautinformations d'identification, soit parce que personne ne les a modifiées, soit parce que le fabricant les a codées en dur. Le botnet a repris un grand nombre d'appareils. Même si la plupart des systèmes n’étaient pas très puissants, leur nombre considérable pourrait concourir à l’obtention d’un résultat supérieur à celui d’un ordinateur zombie puissant.
Mirai a repris près de 500 000 appareils. Utilisant ce réseau de bot groupé de périphériques IoT, Mirai a paralysé des services tels que Xbox Live et Spotify, ainsi que des sites Web tels que BBC et Github, en ciblant directement les fournisseurs DNS. Avec autant de machines infectées, Dyn (un fournisseur DNS) a été arrêté par une attaque DDOS qui a généré 1,1 téraoctets de trafic. Une attaque DDOS fonctionne en inondant une cible avec une quantité considérable de trafic Internet, plus que la cible ne peut gérer. Cela amènera le site Web ou le service de la victime à une analyse ou le forcera complètement à quitter Internet.
Les créateurs originaux du botnet Maraides logiciels ont été arrêtés, ont plaidé coupables et se sont vu imposer une période de probation. Pendant un certain temps, Mirai a été fermé. Mais suffisamment de code a survécu pour que d'autres mauvais acteurs prennent le contrôle de Mirai et le modifient pour répondre à leurs besoins. Il existe maintenant une autre variante de Mirai.
APPARENTÉ, RELIÉ, CONNEXE: Qu'est-ce qu'un botnet?
Comment se protéger de Mirai
Mirai, comme d’autres botnets, utilise des exploits connus pourattaquer les appareils et les compromettre. Il essaie également d'utiliser les identifiants de connexion par défaut connus pour intégrer le périphérique et en prendre le contrôle. Vos trois meilleures lignes de protection sont donc simples.
Toujours mettre à jour le firmware (et le logiciel) detout ce que vous avez chez vous ou sur votre lieu de travail et qui peut se connecter à Internet. Le piratage est un jeu de chat et souris, et une fois qu'un chercheur découvre un nouvel exploit, des correctifs suivent pour corriger le problème. Les réseaux de zombies comme celui-ci se développent sur des périphériques non corrigés, et cette variante de Mirai n’est pas différente. Les exploits visant le matériel d'entreprise ont été identifiés en septembre et en 2017.
APPARENTÉ, RELIÉ, CONNEXE: Qu'est-ce qu'un micrologiciel ou un microcode et comment puis-je mettre à jour mon matériel?
Modifier les informations d'identification de l'administrateur de vos appareils(nom d'utilisateur et mot de passe) dès que possible. Pour les routeurs, vous pouvez le faire dans l’interface Web ou l’application mobile de votre routeur (le cas échéant). Pour les autres appareils auxquels vous vous connectez avec leur nom d’utilisateur ou leur mot de passe par défaut, consultez le manuel de l’appareil.
Si vous pouvez vous connecter en utilisant admin, mot de passe ou unchamp vide, vous devez changer cela. Veillez à modifier les informations d'identification par défaut chaque fois que vous configurez un nouveau périphérique. Si vous avez déjà configuré les appareils et que vous avez oublié de changer le mot de passe, faites-le maintenant. Cette nouvelle variante de Mirai cible de nouvelles combinaisons de noms d'utilisateur et de mots de passe par défaut.
Si le fabricant de votre appareil a cessé de publier de nouvelles mises à jour du microprogramme ou s'il a codé en dur les informations d'identification de l'administrateur et que vous ne pouvez pas les modifier, envisagez de remplacer l'appareil.
La meilleure façon de vérifier est de commencer à votresite Web du fabricant. Recherchez la page de support de votre appareil et recherchez les notifications relatives aux mises à jour du micrologiciel. Vérifiez quand le dernier a été publié. Si cela fait des années depuis la mise à jour du firmware, le fabricant ne prend probablement plus en charge le périphérique.
Vous pouvez trouver des instructions pour changer leinformations d’administration sur le site Web d’assistance du fabricant du périphérique. Si vous ne trouvez pas les mises à jour récentes du micrologiciel ou une méthode pour changer le mot de passe de l’appareil, il est probablement temps de remplacer l’appareil. Vous ne voulez pas laisser quelque chose de vulnérable en permanence connecté à votre réseau.
Le remplacement de vos appareils peut sembler drastique, mais siils sont vulnérables, c’est votre meilleure option. Les botnets comme Mirai ne disparaissent pas. Vous devez protéger vos appareils. Et en protégeant vos propres appareils, vous protégerez le reste d’Internet.
