Qu'est-ce que le botnet Mirai ?
Fin 2016 en France, la société de télécommunications OVH a été touchée par une attaque par déni de service distribué(DDoS). Les experts ont été frappés par le fait que l'assaut était 100 fois plus important que des menaces similaires. Le mois suivant, plus de 175 000 sites web ont souffert, car Dyn, un fournisseur de DNS (système de noms de domaine) géré, a été touché par une autre attaque DDoS puissante. Une grande partie de l'est des États-Unis et une partie de l'Europe ont subi une baisse significative de la qualité de l'internet.
Certains groupes de pirates informatiques, tels que les Anonymous et les New World Hackers , ont revendiqué cette responsabilité en représailles à la coupure de l'accès à Internet du fondateur de WikiLeaks, Julian Assange, par le gouvernement équatorien. Toutefois, les autorités américaines et les entreprises de sécurité ont mis en doute ces affirmations. Une chose est sûre. L'arme derrière ces attaques était le logiciel malveillant du réseau de zombies Mirai.
Le moment n'aurait pas pu être plus mal choisi. À l'approche des élections américaines, on craignait que le logiciel malveillant n'ait un impact sur les électeurs. Les experts ont émis l'hypothèse que le logiciel malveillant était l'œuvre d'un État voyou désireux de manipuler le processus démocratique.
Ils étaient loin de la vérité.
Qui a créé le botnet Mirai ?
Trois jeunes hommes nommés Paras Jha, Dalton Norman et Josiah White ont créé Mirai dans le cadre d'une arnaque Minecraft. Leur objectif initial était de lancer un programme d'extorsion en neutralisant des serveurs Minecraft et en lançant un racket de protection. Après qu'un certain utilisateur d'Internet, « Anna-senpai », que les enquêteurs croient être un pseudonyme de Paras Jha, ait publié le code source de Mirai en ligne, le botnet a muté.
Comment le botnet Mirai a-t-il obtenu son nom ?
Mirai est un prénom japonais qui signifie « avenir ». Selon un journal de discussion entre Anna-senpai et Robert Coelho, un cadre chez ProxyPipe.com, le botnet Mirai a été nommé d'après la série animée japonaise Mirai Nikki.
Comment Mirai se propage-t-il ?
Répondons à quelques questions brûlantes comme « Qu'est-ce qu'une attaque DDoS ? », « Qu'est-ce qu'un botnet ? » et
« Qu'est-ce que l'IoT ? » avant d'expliquer comment le botnet Mirai s'est répandu.
Un botnet est un réseau d'ordinateurs détournés sous le contrôle d'un acteur de la menace, généralement appelé " bot herder". Le réseau d'ordinateurs, ou bots, exécute un script automatisé pour effectuer une tâche.
Les botnets ne sont pas toujours au service d'acteurs malveillants. Par exemple, l'expérience scientifique participative SETI@home a cherché de la vie extraterrestre à travers un botnet volontaire. Cependant, les bot herders utilisent généralement les botnets pour des attaques comme les DDoS. En utilisant les ressources considérables des nombreux ordinateurs d'un botnet, ils envoient un trafic excessif à un site web ou un service pour le submerger et le mettre hors ligne.
L'objectif d'une attaque DDoS peut aller de la simple perturbation à l'activisme, en passant par l'extorsion. Par exemple, les auteurs de Mirai voulaient miner les serveurs Minecraft critiques afin de vendre des services de mitigation DDoS. Ils auraient aussi attaqué ProxyPipe.com parce qu'il offrait des services similaires et était un concurrent potentiel.
Le botnet Mirai était différent des autres logiciels malveillants car il s'attaquait aux appareils IoT plutôt qu'aux ordinateurs. L'IdO, bien sûr, est un nom fantaisiste pour les appareils qui comportent des capteurs et des logiciels, ce qui leur permet de communiquer avec d'autres appareils et systèmes. Mirai a infecté des appareils grand public vulnérables tels que des caméras intelligentes. Il s'est également attaqué à des routeurs basés sur la technologie Realtek.
Mirai a scanné Internet à la recherche de cibles et a pénétré leur sécurité en essayant des combinaisons par défaut de nom d'utilisateur et de mot de passe. Il n'a pas fallu longtemps à Mirai pour infecter des centaines de milliers d'appareils IoT dans des pays du monde entier et gagner une puissance significative. L'attaque de Mirai en 2016 contre OVH a culminé à un étonnant 1TBps.
Comment le botnet Mirai a-t-il été stoppé ?
Selon TechTarget, le FBI a découvert l'identité des créateurs de Mirai à travers les métadonnées autour de leurs comptes anonymes après une enquête approfondie. Non seulement le trio a plaidé coupable à diverses infractions informatiques, mais ils ont accepté d'aider à réparer les choses. L'une de leurs contributions majeures a été de construire un IoT honeypot appelé WatchTower. Un honeypot est essentiellement un piège numérique pour les malware et les hackers.
Le botnet Mirai est-il toujours actif ?
Les autorités ont peut-être attrapé les créateurs de Mirai, mais l'esprit de leur réseau de zombies perdure. De nombreux groupes ont profité de l'ouverture du code source pour créer des variantes miniatures. Outre les attaques DDoS, les botnets peuvent aider les hackers à affaiblir la sécurité des sites web, à voler des données de cartes de crédit et à envoyer des spams.
Comment le malware Mirai peut-il être atténué ?
La mise à jour du micrologiciel de vos appareils IoT vers la dernière version peut contribuer à réduire le risque d'infection par un réseau de zombies. En outre, la modification des noms d'utilisateur et des mots de passe par défaut empêchera les acteurs de la menace d'utiliser des identifiants de connexion par défaut connus. Il peut également être utile de segmenter votre réseau afin que vos appareils IoT se trouvent sur un réseau distinct.
Pour sécuriser votre ordinateur contre les infections de botnet, installez régulièrement les derniers correctifs de sécurité pour votre système d'exploitation et téléchargez des outils anti-malware. Vous pouvez également être mis en danger par d'anciens routeurs obsolètes—alors envisagez de les remplacer. Une approche proactive peut renforcer vos défenses contre tous types d'infections de botnet.