Qu'est-ce que le botnet Mirai ?
À la fin de 2016 en France, la société de télécommunications OVH a été frappée par une attaque par déni de service distribué (DDoS). Les experts ont été impressionnés par le fait que l'attaque était 100 fois plus importante que des menaces similaires. Le mois suivant, plus de 175,000 sites web ont été touchés lorsque Dyn, un fournisseur DNS (Domain Name System) géré, a été ciblé par une autre puissante attaque DDoS. Une grande partie de l'est des États-Unis et certaines parties de l'Europe ont subi une baisse importante de la qualité de l'Internet.
Certains groupes de hackers comme Anonymous et New World Hackers ont revendiqué leurs responsabilités en représailles pour le retrait d'Internet de Julian Assange, fondateur de WikiLeaks, par le gouvernement équatorien. Cependant, les officiels américains et les entreprises de sécurité ont mis en doute ces revendications. Une chose était certaine : l'arme derrière ces attaques était le malware Mirai botnet .
Le timing ne pouvait pas être pire. Avec les élections américaines qui approchaient, il y avait des craintes que le malware n'affecte les électeurs. Les experts ont spéculé que le logiciel malveillant était l'œuvre d'un état voyou cherchant à manipuler le processus démocratique.
Ils étaient loin de la vérité.
Qui a créé le botnet Mirai ?
Trois jeunes hommes nommés Paras Jha, Dalton Norman et Josiah White ont créé Mirai dans le cadre d'une arnaque Minecraft. Leur objectif initial était de lancer un programme d'extorsion en neutralisant des serveurs Minecraft et en lançant un racket de protection. Après qu'un certain utilisateur d'Internet, « Anna-senpai », que les enquêteurs croient être un pseudonyme de Paras Jha, ait publié le code source de Mirai en ligne, le botnet a muté.
Comment le botnet Mirai a-t-il obtenu son nom ?
Mirai est un prénom japonais qui signifie « avenir ». Selon un journal de discussion entre Anna-senpai et Robert Coelho, un cadre chez ProxyPipe.com, le botnet Mirai a été nommé d'après la série animée japonaise Mirai Nikki.
Comment Mirai se propage-t-il ?
Répondons à quelques questions brûlantes comme « Qu'est-ce qu'une attaque DDoS ? », « Qu'est-ce qu'un botnet ? » et
« Qu'est-ce que l'IoT ? » avant d'expliquer comment le botnet Mirai s'est répandu.
Un botnet est un réseau d'ordinateurs piratés sous le contrôle d'un acteur malveillant, généralement appelé bot herder. Le réseau d'ordinateurs, ou bots, exécute un script automatisé pour accomplir une tâche.
Les botnets ne sont pas toujours au service d'acteurs malveillants. Par exemple, l'expérience scientifique participative SETI@home a cherché de la vie extraterrestre à travers un botnet volontaire. Cependant, les bot herders utilisent généralement les botnets pour des attaques comme les DDoS. En utilisant les ressources considérables des nombreux ordinateurs d'un botnet, ils envoient un trafic excessif à un site web ou un service pour le submerger et le mettre hors ligne.
L'objectif d'une attaque DDoS peut aller de la simple perturbation à l'activisme, en passant par l'extorsion. Par exemple, les auteurs de Mirai voulaient miner les serveurs Minecraft critiques afin de vendre des services de mitigation DDoS. Ils auraient aussi attaqué ProxyPipe.com parce qu'il offrait des services similaires et était un concurrent potentiel.
Le botnet Mirai était différent des autres malware car il attaquait des appareils IoT au lieu des ordinateurs. L'IoT, bien sûr, est un terme technique pour désigner les appareils dotés de capteurs et de logiciels, qui leur permettent de communiquer avec d'autres appareils et systèmes. Mirai a infecté des appareils grand public vulnérables comme les caméras intelligentes. Il a également armé des routeurs basés sur Realtek.
Mirai a scanné Internet à la recherche de cibles et a pénétré leur sécurité en essayant des combinaisons par défaut de nom d'utilisateur et de mot de passe. Il n'a pas fallu longtemps à Mirai pour infecter des centaines de milliers d'appareils IoT dans des pays du monde entier et gagner une puissance significative. L'attaque de Mirai en 2016 contre OVH a culminé à un étonnant 1TBps.
Comment le botnet Mirai a-t-il été stoppé ?
Selon TechTarget, le FBI a découvert l'identité des créateurs de Mirai à travers les métadonnées autour de leurs comptes anonymes après une enquête approfondie. Non seulement le trio a plaidé coupable à diverses infractions informatiques, mais ils ont accepté d'aider à réparer les choses. L'une de leurs contributions majeures a été de construire un IoT honeypot appelé WatchTower. Un honeypot est essentiellement un piège numérique pour les malware et les hackers.
Le botnet Mirai est-il toujours actif ?
Les autorités ont peut-être attrapé les créateurs de Mirai, mais l'esprit de leur botnet vit toujours. De nombreux groupes ont profité du code open-source pour créer des mini-variantes. Outre les attaques DDoS, les botnets peuvent aider les hackers à affaiblir la sécurité des sites web, à voler des données de carte de crédit et à envoyer du spam.
Comment le malware Mirai peut-il être atténué ?
Mettre à jour le micrologiciel de vos appareils IoT à la dernière version peut aider à atténuer le risque d'une infection par un botnet. De plus, changer les noms d'utilisateur et les mots de passe par défaut empêchera les acteurs malveillants d'utiliser des identifiants de connexion par défaut connus. Segmenter votre réseau pour que vos appareils IoT soient sur un réseau séparé peut également être utile.
Pour sécuriser votre ordinateur contre les infections de botnet, installez régulièrement les derniers correctifs de sécurité pour votre système d'exploitation et téléchargez des outils anti-malware. Vous pouvez également être mis en danger par d'anciens routeurs obsolètes—alors envisagez de les remplacer. Une approche proactive peut renforcer vos défenses contre tous types d'infections de botnet.