Botnet Mirai_ptea

Une nouvelle variante basée sur le tristement célèbre Mirai Botnet a été détectée dans le cadre d'opérations menaçantes actives. Nommée Mirai_ptea par les chercheurs en logiciels malveillants, la nouvelle menace exploite une vulnérabilité des appareils KGUARD DVR. Certains détails sur la vulnérabilité spécifique sont gardés secrets mais, en bref, cela permet aux acteurs de la menace d'accéder au programme rsSystemServer sur le firmware KGUARD DVR et peuvent ensuite écouter sur le port 56*** à 0.0.0.0 pour exécuter des commandes système arbitraires à distance , sans avoir besoin de s'authentifier. Il convient de noter que cet exploit particulier a été corrigé dans les versions de firmware publiées après 2017. Pourtant, les chercheurs d'infosec ont découvert environ 3 000 appareils vulnérables qui peuvent être compromis par Mirai_ptea. La plupart des appareils déjà violés semblent être situés aux États-Unis, suivis de la Corée et du Brésil.

Capacités menaçantes

Le Mirai Botnet a gagné en notoriété en 2016, et peu de temps après, son code source a été divulgué sur des forums de hackers, transformant efficacement la menace en malware open source. Depuis lors, des cybercriminels sans scrupules ont créé de nombreuses menaces avec une dépendance variable au code Mirai d'origine. Quant à Mira_ptea, l'analyse de son code et de ses activités montre qu'au niveau du comportement de l'hôte, il est quasiment identique à Mirai. Les principales différences se trouvent dans la façon dont Mirai_ptea gère son trafic réseau. En fait, son nom est dérivé de deux d'entre eux - l'utilisation d'un proxy TOR pour la communication avec le serveur Command-and-Control (C2, C&C) et le recours à TEA (Tine Encryption Algorithm) pour masquer les données de ressources sensibles. La principale fonctionnalité menaçante de Mirai_ptea est la réalisation d'attaques DDoS (Distributed Denial-of-Service) et la menace a été utilisée dans des attaques actives contre des cibles sélectionnées.