[ARTICLE] Mirai fait son coming…back

Mirai, de l’histoire ancienne ? On aurait pu croire qu’il s’agissait d’une affaire classée. Or, une nouvelle version vient d’émerger.

Découvert par des chercheurs de MalwareMustDIe en août 2016, le malware Mirai avait lancé des attaques par déni de service record. En septembre 2016, Twitter, CNN, Spotify et bien d’autres avaient été paralysés pendant plusieurs heures, à l’image de l’hébergeur français OVH et le fournisseur américain DNS Dyn (racheté depuis par Oracle). Si les webcams constituent l’une de ces cibles privilégiées, ses nouvelles cibles privilégiées sont notamment les routeurs, les téléviseurs connectés ou encore les lecteurs multimédias.

Après deux variantes identifiées à l’automne dernier, visant les serveurs Apache Struts et les équipements SonicWall, la nouvelle variante identifiée par les chercheurs de Palo Alto Networks 42 cible deux nouvelles classes d’appareils : les téléviseurs à affichage intelligent et les systèmes de présentation sans fil. Cette version utilise 27 exploits, dont 11 sont totalement nouveaux. L’un des 11 nouveaux exploits vise les systèmes de présentation sans fil WePresent WiPG-1000 et un autre exploit vise les téléviseurs LG Supersign. Ces deux appareils sont destinés aux entreprises, qui disposent généralement de réseaux offrant une plus grande largeur de bande que la cible plus traditionnelle de Mirai, à savoir les consommateurs à domicile. Les autres nouveaux exploits visaient des vulnérabilités dans une gamme de dispositifs des produits Netgear, DLink et Zyxel.

La nouvelle variante cible également les nouvelles informations d’identification d’administrateur par défaut, y compris les combinaisons utilisateur-mot de passe inédites suivantes:

admin:huigu309

racine:huigu309

ARTISAN:ALC#FGU

root:videoflow.

En plus de l’analyse d’autres périphériques vulnérables, la nouvelle version peut être utilisée pour envoyer des attaques HTTP Flood DDoS. Au moment de la publication de la découverte de ce nouveau malware, le script shell de la charge utile était toujours en ligne, ironiquement sur le site Web compromis d’un service sans nom de “sécurité électronique, d’intégration et de surveillance des alarmes” en Colombie. De plus, les binaires téléchargés par le script shell ont été nommés au format “clean…[arch]” (par exemple clean.x86, clean.mips etc.), mais ils ne semblent plus hébergés sur le site.

Le fait de pivoter sur la source de la charge utile a révélé que certains échantillons récupéraient la même charge utile qui était hébergée à 185[…]248.140.102/bins/. La même adresse IP hébergeait des échantillons de Gafgyt au format “eeppinen…[arch]” quelques jours avant la mise à jour vers cette nouvelle variante multi-exploit.

Pour se prémunir de Mirai, les chercheurs en sécurité informatique préconisent de mettre en place les mesures suivantes :

  1. L’installation de patchs et de mises à jour des firmwares des équipements connectés ;
  2. La modification systématique des mots de passe par défaut de ces équipements par des mots de passe solides (plusieurs caractères différents);
  3. Le redémarrage voir la réalisation d’un reset de tout équipement jugé suspect. Il convient de noter que si ce redémarrage tend effectivement à éliminer la plupart des variantes de Mirai, il n’empêche nullement la réinfection de l’appareil ;
  4. La mise en place d’une veille continue du réseau afin de surveiller le comportement et les communications de l’intégralité des dispositifs IoT au sein du système.
  5. L’amélioration de la surveillance et de la rapidité d’intervention en cas d’incident