Plus de 100 000 caméras connectées à Internet sont exposées à un nouveau malware IoT qui exploite des vulnérabilités récemment mises en évidences dans ce type de produits par un chercheur. « Depuis le mois dernier, le malware baptisé Persirai infecte des caméras sans fil fabriquées en Chine », a déclaré hier Trend Micro. Le logiciel malveillant exploite des vulnérabilités identifiées et divulguées par le chercheur indépendant en sécurité Pierre Kim au mois de mars dernier. Selon lui, ces failles peuvent permettre à un attaquant d'exécuter du code à distance sur les caméras et d’en prendre facilement le contrôle. « Au moins 1 250 modèles de caméras produits par le fabricant chinois sont concernés par ces vulnérabilités », avait-il affirmé. Les produits concernés sont des Wireless IP Camera (P2P) Wificam chinois vendus en OEM.

En avril, soit plus d'un mois plus tard, Trend Micro a remarqué qu’un nouveau malware se propageait sur ces mêmes produits en exploitant ces mêmes failles. « Il semble que les attaquants savent très bien ce qu’il faut faire pour exploiter ces vulnérabilités », a déclaré Jon Clay, directeur du marketing pour les menaces globales de Trend Micro. L’entreprise de sécurité estime qu'environ 120 000 caméras sont exposées au malware Persirai. L’identification et l’estimation les matériels connectés à Internet ont été réalisés à l’aide du moteur de recherche Shodan. Le malware Persirai infecte les caméras pour créer un botnet ou un immense réseau d'ordinateurs asservis. Ces botnets sont ensuite utilisés pour lancer des attaques DDoS et submerger les sites Web par un trafic Internet intense, jusqu’à leur mise hors ligne. Quand un terminal est infecté par le malware Persirai, il est également impossible à toute personne d'exploiter les mêmes vulnérabilités sur le périphérique.

Des bouts de code de Mirai utilisés

Qihoo 360, une autre entreprise de sécurité, a également repéré le malware. Selon son estimation, 43 621 appareils sont infectés en Chine. Élément intéressant, le malware Persirai utilise des bouts de code d'un malware notoire connu sous le nom de Mirai, lequel a également infecté des périphériques IoT, comme des magnétoscopes, des routeurs Internet et des caméras de vidéosurveillance, sauf que Mirai utilise aussi une attaque par force brute pour casser les mots de passe qui protègent ces périphériques. « Néanmoins, Persirai s’appuie sur certaines fonctions de Mirai pour scanner l’Internet et trouver de nouveaux périphériques à infecter », a déclaré Marshal Webb, CTO de BackConnect, un fournisseur de solutions de protections DDoS. Même si le botnet créé par Persirai semble capable de lancer des attaques DDoS, il n’a pas encore lancé d’attaques massives contre des sites Web ciblés. Probablement que les développeurs du malware sont toujours en phase de test.

« En divulguant ces vulnérabilités, le chercheur en sécurité avait peut-être les meilleures intentions. Mais ces informations sont aujourd’hui à la disposition de tous, et n’importe qui peut les exploiter », a déclaré Marshal Webb. Pierre Kim n'a pas répondu à une demande de commentaires, mais, dans un blog, le chercheur en sécurité fait état « de difficultés » à trouver et à contacter tous les fournisseurs concernés. Trend Micro a identifié le principal fabricant chinois des caméras ciblées par le malware et prépare avec lui le déploiement d’un correctif. L'entreprise de sécurité refuse de révéler le nom de ce fabricant avant la publication du patch. Compte tenu du nombre de modèles concernés, il est actuellement difficile de savoir exactement quels produits et quelles marques sont exposés à ces vulnérabilités. En attendant, les utilisateurs peuvent protéger leurs caméras en plaçant leurs périphériques derrière un pare-feu et en bloquant l'accès aux serveurs de commande et de contrôle du malware, localisés en Iran. Trend Micro a publié sur un blog plusieurs détails techniques sur Persirai.