Selon des chercheurs de l'équipe de cybersécurité de Unit 42 de Palo Alto Network, une variante de Mirai - le malware botnet utilisé pour lancer des attaques DDoS massives dont le créateur a fini par être débusqué - a ciblé 13 failles dans des terminaux IoT connectés aux serveurs Linux. Une fois compromis par la variante, baptisée V3G4 de Mirai, ils peuvent être entièrement contrôlés par des attaquants et faire partie d'un botnet servant pour d'autres campagnes incluant des attaques DDoS. « Les vulnérabilités ont moins de complexité d'attaque que les variantes précédemment observées, mais elles maintiennent un impact critique sur la sécurité qui peut conduire à l'exécution de code à distance », a déclaré Unit 42 dans un dernier rapport.

L'activité V3G4 a été observée entre juillet et décembre de l'année dernière, dans trois campagnes selon Unit 42. Les trois campagnes semblaient être liées à la même variante et au même botnet Mirai pour plusieurs raisons, selon les chercheurs. Ils ont noté que les domaines avec l'infrastructure de commande et de contrôle (C2) codée en dur et utilisée pour maintenir les communications avec les systèmes infectés, contenaient le même format de chaîne de caractères. De plus, les téléchargements de scripts shell sont similaires et le botnet utilisé dans toutes les attaques présente des fonctions identiques. L'acteur malveillant déployant V3G4 a exploité des vulnérabilités qui pourraient conduire à l'exécution de code à distance, selon Unit 42. Une fois exécuté, le malware active une fonction pour vérifier que le périphérique hôte a déjà été infecté. Si tel est le cas, il se répandra sur un autre. Il tentera également de désactiver un ensemble de processus à partir d'une liste codée en dur, comprenant d'autres familles de logiciels malveillants de botnet concurrents.

De nombreuses failles exploitées

Alors que la plupart des variantes de Mirai utilisent la même clé pour le chiffrement de chaîne, la V3G4 utilise plusieurs clés de chiffrement XOR - une opération logique booléenne - pour différents scénarios, indique la recherche. V3G4 contient un ensemble d'identifiants de connexion par défaut ou faibles pour effectuer des attaques par force brute via les protocoles réseau Telnet et SSH, et se propager à d'autres machines. Après quoi il établit le contact avec le serveur C2 et attend de recevoir des commandes pour lancer des attaques DDoS contre des cibles selon Unit 42.

V3G4 a exploité de nombreuses vulnérabilités, notamment celles de l'outil de gestion FreePBX pour les serveurs de communication Asterisk (CVE-2012-4869), Atlassian Confluence (CVE-2022-26134), l'outil d'administration système Webmin (CVE-2019-15107), des routeurs DrayTek Vigor (CVE-2020-8515 : et CVE-2020-15415), ou encore le système de gestion Web C-Data (CVE-2022-4257). Les chercheurs de Unit 42 recommande également d'appliquer des correctifs et des mises à jour pour remédier aux vulnérabilités, lorsque cela est possible.

Un botnet redoutable

Au cours des dernières années, Mirai a tenté d'envelopper ses tentacules autour du SD-WAN, de cibler les systèmes de visioconférence d'entreprise et d'utiliser Native Linux pour infecter plusieurs plates-formes. Le botnet Mirai était une itération d'une série de packages de logiciels malveillants développés par Paras Jha, étudiant de premier cycle à l'Université Rutgers. Jha l'a posté en ligne sous le nom « Anna-Senpai », en le nommant Mirai (japonais pour « le futur »). Le botnet encapsulait certaines techniques sophistiquées y compris une liste de mots de passe codés en dur.

En décembre 2016, Paras Jha et ses associés ont plaidé coupables de crimes liés aux attaques de Mirai. Mais à ce moment-là, le code était déjà parti dans la nature et utilisé pour d'autres opérateurs de botnet. Cela signifiait que n'importe qui pouvait l'utiliser pour essayer d'infecter des terminaux IoT et lancer des attaques DDoS, voire même vendre cette capacité au plus offrant. De nombreux cybercriminels ont fait exactement cela, ou sont en train de peaufiner et d'améliorer le code pour le rendre encore plus difficile à combattre. La première grande vague d'attaques de Mirai a eu lieu le 19 septembre 2016 et a été utilisée contre l'hébergeur français OVH. Mirai était également responsable d'une attaque DDoS cette même année contre le fournisseur DNS Dyn avec environ 100 000 terminaux infectés. En conséquence, les principales plates-formes et services Internet n'étaient pas disponibles pour les utilisateurs en Europe et en Amérique du Nord.