Mirai (logiciel malveillant)
From Wikipedia, the free encyclopedia
Mirai (未来, mot japonais pour « avenir ») est un logiciel malveillant qui vise à utiliser des ordinateurs utilisant le système d'exploitation Linux comme bots contrôlés à distance, pour former un botnet. Celui-ci est utilisé notamment pour réaliser des attaques à grande échelle sur les réseaux. Mirai cible principalement les dispositifs grand public tels que des caméras pilotables à distance ou des routeurs domestiques[1]. Un ou plusieurs botnets Mirai ont été utilisés dans certaines des plus importantes attaques en déni de service distribué (DDoS).
Les appareils infectés par Mirai recherchent en permanence sur Internet des adresses IP correspondant à des objets connectés (IoT). Mirai contient une table de masques de sous-réseaux qu'il ne tentera pas d'infecter, comprenant les réseaux privés et les adresses attribuées à l'United States Postal Service et au ministère de la défense des États-Unis[2].
Mirai identifie ensuite les objets IoT vulnérables grâce à une table d'identifiants et de mots de passe par défaut et se connecte ensuite tout simplement pour installer le logiciel malveillant[3],[4],[5]. Les objets infectés continueront à fonctionner normalement, sauf une lenteur occasionnelle[3] et une augmentation de l'utilisation de la bande passante. Un appareil est infecté jusqu'à son redémarrage, ce qui peut supposer simplement d'éteindre l'appareil, puis de le rallumer après une brève attente. Après un redémarrage, à moins que le mot de passe ait été changé immédiatement, on a constaté que l'appareil est souvent réinfecté en quelques minutes[3].
Il y a des centaines de milliers d'appareils connectés à Internet qui utilisent des paramètres par défaut, ce qui les rend vulnérables à ce type d'attaque. Une fois infecté, le dispositif surveille un serveur de commande et de contrôle (C&C) qui est utilisé pour indiquer la cible d'une attaque[3]. L'intérêt de l'utilisation des nombreux objets connectés à Internet est de contourner certains systèmes de protection contre les dénis de service qui surveillent les adresses IP des connexions entrantes et réalisent un filtrage ou mettent en place un blocage s'il identifie une typologie de trafic anormale, telle que de nombreuses requêtes provenant de la même adresse IP. Une autre motivation est la possibilité de mobiliser plus de bande passante que celle dont l'attaquant dispose à lui tout seul, et éviter d'être tracé.
Le code source pour le logiciel malveillant Mirai a été publié fin sur des forums de hackers[6], puis sur Github. Depuis que ce code source a été publié, les mêmes techniques ont été adaptées dans d'autres projets de logiciels malveillants[7].
