Devis de remise multi-licences
Sécurité informatique Les retombées du botnet Mirai déclenchent une vague...

Les retombées du botnet Mirai déclenchent une vague mondiale d'attaques DDoS

Par Mura en Sécurité informatique
Se traduisent par :
Français

Deux botnets dérivés de Mirai ont lancé des campagnes agressives de déni de service distribué (DDoS) dans le monde entier, ciblant les vulnérabilités des appareils IoT (Internet des objets) et exploitant les informations d'identification faibles. Ces campagnes soulignent la menace persistante posée par les malwares basés sur Mirai, qui restent une puissante cyberarme près d'une décennie après leurs débuts tristement célèbres.

L'évolution de Mirai : une menace persistante pour la sécurité de l'IoT

Le botnet Mirai est depuis longtemps un symbole des vulnérabilités inhérentes aux appareils IoT. Depuis la fuite de son code source en 2016, Mirai a inspiré d'innombrables variantes, chacune s'appuyant sur les capacités dévastatrices du malware d'origine. Deux campagnes distinctes ont récemment émergé, exploitant des malwares dérivés de Mirai pour compromettre les appareils IoT et lancer des attaques DDoS mondiales.

Campagne 1 : Le botnet Murdoc

L'une des campagnes actives, baptisée Murdoc Botnet, diffuse le malware Mirai pour exploiter des vulnérabilités spécifiques dans des appareils IoT tels que les caméras Avtech et les routeurs Huawei HG532. Selon les chercheurs de Qualys, le botnet utilise des exploits connus, notamment :

  • CVE-2024-7029 : Une vulnérabilité de contournement d'authentification dans les caméras Avtech, permettant aux attaquants d'injecter des commandes à distance.
  • CVE-2017-17215 : Une faille d'exécution de code à distance (RCE) dans les routeurs Huawei.

Le botnet Murdoc a commencé ses opérations en juillet 2024 et a depuis compromis plus de 1 300 adresses IP, principalement en Malaisie, en Thaïlande, au Mexique et en Indonésie. Les chercheurs ont découvert plus de 100 ensembles de serveurs distincts liés au botnet, chacun étant chargé de gérer les appareils infectés et de coordonner d'autres attaques.

Le malware s'infiltre dans les appareils via des fichiers ELF et des scripts shell, qui sont ensuite utilisés pour installer des variantes du malware Mirai. Ces appareils infectés sont transformés en armes pour participer à des attaques DDoS de grande envergure, créant ainsi un formidable réseau mondial de botnets.

Campagne 2 : Logiciels malveillants hybrides ciblant les organisations mondiales

Une deuxième campagne, utilisant des malwares dérivés de Mirai et de Bashlite, a ciblé des organisations en Amérique du Nord, en Europe et en Asie. Les chercheurs de Trend Micro ont identifié des attaques DDoS à grande échelle qui ont d'abord touché des entreprises et des banques japonaises avant de se propager à l'échelle mondiale.

Vecteurs d'attaque et dispositifs ciblés

Les attaquants se sont concentrés sur l'exploitation des failles de sécurité et des informations d'identification faibles dans les appareils IoT largement utilisés, tels que :

  • Routeurs TP-Link
  • Routeurs Zyxel
  • Caméras IP Hikvision

Le logiciel malveillant exploitait les vulnérabilités d'exécution de code à distance et les mots de passe faibles pour accéder aux appareils, puis téléchargeait des scripts pour compromettre les appareils. Cette opération mondiale a utilisé deux principaux types d'attaques DDoS :

  1. Attaques de surcharge du réseau : inondation des réseaux avec des paquets massifs de données pour surcharger la bande passante.
  2. Attaques par épuisement des ressources : création de nombreuses sessions pour épuiser les ressources du serveur.

Dans certains cas, les attaquants ont combiné les deux méthodes pour maximiser les dégâts, provoquant des perturbations importantes dans les régions touchées.

Mesures défensives : atténuer l'impact des botnets Mirai

La résurgence des campagnes basées sur Mirai souligne la nécessité pour les entreprises de renforcer leurs défenses contre les attaques DDoS. Les chercheurs de Qualys et Trend Micro ont formulé des recommandations essentielles pour lutter contre ces menaces.

Bonnes pratiques générales

  1. Surveillez les activités suspectes : suivez régulièrement les processus, les événements et le trafic réseau pour détecter tout signe de compromission.
  2. Évitez les sources non fiables : évitez d’exécuter des scripts shell ou des binaires provenant d’origines inconnues.
  3. Renforcez les appareils IoT : assurez-vous que les appareils sont mis à jour avec le dernier firmware et disposent de mots de passe forts et uniques.

Atténuer les attaques de surcharge du réseau

  • Utilisez des pare-feu ou des routeurs pour bloquer les adresses IP malveillantes et restreindre le trafic indésirable.
  • Collaborez avec les fournisseurs de services Internet pour filtrer le trafic DDoS à la périphérie du réseau.
  • Mettez à niveau le matériel du routeur pour gérer des volumes de paquets plus élevés.

Atténuer les attaques par épuisement des ressources

  • Implémentez une limitation de débit pour restreindre le nombre de requêtes provenant d’adresses IP spécifiques.
  • Utilisez des services de protection DDoS tiers pour filtrer le trafic malveillant.
  • Surveillez en continu les connexions en temps réel et bloquez les adresses IP présentant une activité excessive.

L'héritage persistant de Mirai

Ces dernières campagnes de botnet Mirai nous rappellent avec force les risques posés par les appareils IoT non protégés. Alors que les attaquants continuent d’affiner leurs tactiques et d’exploiter les vulnérabilités de l’IoT, les entreprises doivent rester vigilantes, proactives et préparées à atténuer les risques d’attaques DDoS. En adoptant des mesures de sécurité robustes et en favorisant la collaboration entre les acteurs de la cybersécurité, nous pouvons réduire l’impact de ces menaces persistantes.

Chargement...