Des chercheurs de Trend Micro découvrent une nouvelle itération du logiciel malveillant Mirai, utilisant le réseau TOR

Depuis que le code source de Mirai a été mis en ligne en octobre 2016, de nombreuses variantes du logiciel malveillant ont été développées par des cybercriminels pour étendre ses capacités de ciblage et compromettre le plus grand nombre de périphériques pour les ajouter au réseau de machines zombies utilisées pour conduire des attaques de type déni de service distribué (DDoS).

Une variante du logiciel malveillant Mirai Internet des objets (Internet of Things ou IoT)  a récemment été analysée par les équipes de Trend Micro.

Cette dernière a la particularité d’avoir dans son fichier de configuration de nombreuses adresses IP pour recevoir ses directives depuis des serveurs de  « Command & Control » (C&C) accessibles via le réseau Tor.

Trend Micro souligne que le nouvel échantillon de Mirai, est la preuve que les cybercriminels continuent à développer et à utiliser le code du programme malveillant, en dépit de l’attention considérable qu’il a reçue au fil des ans.

Tout comme les autres itérations de Mirai, la nouvelle variante permet aux attaquants d’accéder à distance à des périphériques IoT. Il peut s’agir de caméras IP et de DVR (magnétoscopes numériques) qui peuvent être contrôlés à distance en utilisant des ports exposés sur Internet et des informations d’authentification par défaut (informations constructeur). Les périphériques infectés peuvent ensuite être exploités pour diverses attaques, par attaques par déni de service distribué (DDoS).

Cependant, ce qui distingue cette nouvelle version est que son auteur a placé les serveurs de contrôle et de commande (Command & Control  ou C&C) sur le réseau anonyme de Tor, dans le but d’empêcher les chercheurs en sécurité de les identifier.

Alors que les premières itérations de Mirai utilisaient les adresse IP de 1 à 4 serveurs de C&C, la version récemment découverte contient un total de 30 adresses IP codées en dur pointant vers le réseau Tor.

Le logiciel malveillant sélectionnerait un relai TOR de manière aléatoire comme proxy avant d’établir la connexion avec le serveur avec le protocole socks5.

Il l’interroge ensuite pour relayer les paquets vers un serveur de commande et de contrôle. Si la connexion de relais échoue, le logiciel malveillant tente le processus avec un autre serveur proxy.

Le logiciel malveillant a été observé en train de rechercher des adresses IP aléatoires avec les ports TCP 9527 et 34567, probablement propres aux caméras IP et aux DVR exposés pour un accès et un contrôle à distance, d’après les chercheurs de Trend Micro.

Informations
+

Risques :

  • Déni de Service

Criticité :

  • Aucun score n’a été diffusé.

Existence d’un code d’exploitation de la vulnérabilité :

  • N/A

Composants & versions vulnérables :

  • Appareil de type IoT

CVE :

  • N/A

 

Pour des informations plus techniques sur ce virus, vous pouvez visiter le blog de Trend Micro

 


Recommandations
+

Pour prévenir et bien réagir face à une attaque par déni de service vous pouvez vous référer à notre fiche réflexe DDOS