Découvert pour la première fois en 2016, le botnet Mirai a pris le contrôle d'un nombre sans précédent d'appareils et infligé d'énormes dégâts à Internet. Maintenant, il est de retour et plus dangereux que jamais.
Le nouveau Mirai amélioré infecte plus d'appareils
Le 18 mars 2019, des chercheurs en sécurité de Réseaux Palo Alto a dévoilé que Mirai a été peaufiné et mis à jour pour atteindre le même objectif à plus grande échelle. Les chercheurs ont découvert que Mirai utilisait 11 nouvelles exportations (portant le total à 27) et une nouvelle liste d'informations d'identification d'administrateur par défaut à essayer. Certains des changements ciblent le matériel professionnel, notamment les téléviseurs LG Supersign et les systèmes de présentation sans fil WePresent WiPG-1000.
Mirai peut être encore plus puissant s'il peut prendre en charge le matériel d'entreprise et réquisitionner les réseaux d'entreprise. Comme Ruchna Nigam, chercheuse principale sur les menaces chez Palo Alto Networks, le met :
Ces nouvelles fonctionnalités offrent au botnet une grande surface d'attaque. En particulier, le ciblage des liens d'entreprise lui donne également accès à une bande passante plus importante, ce qui se traduit finalement par une plus grande puissance de feu pour le botnet pour les attaques DDoS.
Cette variante de Miria continue d'attaquer les routeurs, caméras et autres appareils connectés au réseau. À des fins destructrices, plus il y a d'appareils infectés, mieux c'est. Ironiquement, la charge malveillante était hébergée sur un site Web faisant la promotion d'une entreprise traitant de «la sécurité électronique, de l'intégration et de la surveillance des alarmes».
Mirai est un botnet qui attaque les appareils IOT
Si vous ne vous en souvenez pas, en 2016, le botnet Mirai semblait être partout. Il ciblait les routeurs, les systèmes DVR, les caméras IP et plus encore. Ceux-ci sont souvent appelés appareils Internet des objets (IoT) et incluent des appareils simples comme des thermostats connecter à Internet . Les botnets fonctionnent par infecter des groupes d'ordinateurs et d'autres appareils connectés à Internet puis forcer ces machines infectées à attaquer les systèmes ou à travailler sur d'autres objectifs de manière coordonnée.
Mirai s'est attaqué aux appareils avec des informations d'identification d'administrateur par défaut, soit parce que personne ne les a modifiés, soit parce que le fabricant les a codés en dur. Le botnet a repris un grand nombre d'appareils. Même si la plupart des systèmes n’étaient pas très puissants, les chiffres qui ont fonctionné pourraient fonctionner ensemble pour accomplir plus qu’un ordinateur zombie puissant à lui seul.
Mirai a repris près de 500 000 appareils. En utilisant ce botnet groupé d'appareils IoT, Mirai a paralysé des services tels que Xbox Live et Spotify et des sites Web comme BBC et Github en ciblant Fournisseurs DNS directement. Avec autant de machines infectées, Dyn (un fournisseur DNS) a été arrêté par un Attaque DDOS qui a vu 1,1 téraoctets de trafic. Une attaque DDOS fonctionne en inondant une cible d'une quantité massive de trafic Internet, plus que la cible ne peut gérer. Cela amènera le site Web ou le service de la victime à une exploration ou le forcera à quitter complètement Internet.
Les créateurs originaux du logiciel de botnet Mirai étaient arrêté, plaidé coupable et mis à l'épreuve . Pendant un certain temps, Mirai a été fermée. Mais suffisamment de code a survécu pour que d'autres mauvais acteurs prennent le contrôle de Mirai et le modifient pour répondre à leurs besoins. Il existe maintenant une autre variante de Mirai.
EN RELATION: Qu'est-ce qu'un botnet?
Comment vous protéger de Mirai
Mirai, comme d'autres botnets, utilise des exploits connus pour attaquer les appareils et les compromettre. Il essaie également d'utiliser les informations de connexion par défaut connues pour fonctionner dans l'appareil et le prendre en charge. Vos trois meilleures lignes de protection sont donc simples.
Toujours mettre à jour le firmware (et logiciel) de tout ce que vous avez dans votre maison ou votre lieu de travail qui peut se connecter à Internet. Le piratage est un jeu de chat et de souris, et une fois qu'un chercheur découvre un nouvel exploit, des correctifs suivent pour corriger le problème. Les botnets comme celui-ci prospèrent sur des appareils non corrigés, et cette variante de Mirai n'est pas différente. Les exploits ciblant le matériel métier ont été identifiés en septembre dernier et en 2017.
EN RELATION: Qu'est-ce qu'un micrologiciel ou un microcode et comment puis-je mettre à jour mon matériel?
Modifiez les informations d'identification d'administrateur de vos appareils (nom d'utilisateur et mot de passe) dès que possible. Pour les routeurs, vous pouvez le faire dans l'interface Web de votre routeur ou application mobile (si elle en a une). Pour les autres appareils auxquels vous vous connectez avec leur nom d'utilisateur ou leur mot de passe par défaut, consultez le manuel de l'appareil.
Si vous pouvez vous connecter en utilisant admin, mot de passe ou un champ vide, vous devez changer cela. Assurez-vous de modifier les informations d'identification par défaut chaque fois que vous configurez un nouvel appareil. Si vous avez déjà configuré des appareils et que vous avez négligé de changer le mot de passe, faites-le maintenant. Cette nouvelle variante de Mirai cible de nouvelles combinaisons de noms d'utilisateur et de mots de passe par défaut.
Si le fabricant de votre appareil a cessé de publier de nouvelles mises à jour du micrologiciel ou s'il a codé en dur les informations d'identification de l'administrateur et que vous ne pouvez pas les modifier, envisagez de remplacer l'appareil.
La meilleure façon de vérifier est de commencer sur le site Web de votre fabricant. Recherchez la page d'assistance de votre appareil et recherchez les avis concernant les mises à jour du micrologiciel. Vérifiez quand le dernier a été publié. Si cela fait des années depuis une mise à jour du micrologiciel, le fabricant ne prend probablement plus en charge l'appareil.
Vous pouvez également trouver des instructions pour modifier les informations d'identification d'administration sur le site Web d'assistance du fabricant de l'appareil. Si vous ne trouvez pas les mises à jour récentes du micrologiciel ou une méthode pour modifier le mot de passe de l'appareil, il est probablement temps de remplacer l'appareil. Vous ne voulez pas laisser quelque chose de vulnérable en permanence connecté à votre réseau.
Le remplacement de vos appareils peut sembler radical, mais s’ils sont vulnérables, c’est la meilleure option. Les botnets comme Mirai ne disparaissent pas. Vous devez protéger vos appareils. Et, en protégeant vos propres appareils, vous protégerez le reste d'Internet.
