jim - stock.adobe.com
Mirai : des variantes en pleine évolution
Le célèbre botnet continue de faire des émules. Et certains ne manquent pas de créativité, visant désormais de nouveaux types de systèmes.
Les chercheurs du Netlab de 360.cn se seraient-ils trompés ? Récemment, ils estimaient que la variante de Mirai baptisée Satori n’était que l’œuvre d’un pirate en herbe isolé. Mais celui-ci ne se contente plus de compromettre des systèmes connectés non sécurisés ou affectés par des vulnérabilités connues.
De fait, une version de Satori spécialisée dans le vol de crypto-deniers est désormais en circulation. Elle s’attaque aux systèmes dédiés exécutant le logiciel de minage Claymore Miner, via le port 3333. Le but ? Reconfigurer le logiciel pour que toutes les devises générées sur la machine soient ajoutées au crypto-porte-monnaie du cyber-délinquant. A ce jour, le botnet disposerait d’une capacité de traitement de plus de 800 millions de hashs par seconde, mais il est monté à plus du double. Au cours des dernières 24 h, il a généré ce qui correspond à une centaine de dollars.
Si la base de code est la même que pour la première variante de Satori observée, cette nouvelle mouture dispose de capacités de communication réseau asynchrone avec ses serveurs de commande et de contrôle.
Mais Mirai a également d’autres émules, avec en particulier les opérateurs du botnet Okiru. Et ce dernier présente une spécificité importante : il est capable d’affecter les systèmes animés par des processeurs ARC, à architecture RISC. Une première historique pour le chercheur Odisseus. Et les systèmes connectés embarquant des processeurs ARC ne sont pas si rares. Les familles ARC 600 et 700, optimisées pour les traitements de signaux, comme le souligne Synopsys, peuvent trouver naturellement leur place dans les points d’accès Wi-Fi ou les routeurs sans fil, notamment.
This is the FIRST TIME ever in the history of computer engineering that there is a malware for ARC CPU, & it is #MIRAI OKIRU!!
— Odisseus (@_odisseus) January 14, 2018
Pls be noted of this fact, & be ready for the bigger impact on infection Mirai (specially #Okiru) to devices hasn't been infected yet.#MalwareMustDie pic.twitter.com/y8CRwwkenA
Les systèmes sur puce de Quantenna, à base de cœur ARC 700, apparaissent ainsi assez populaires. On les retrouve ainsi dans des équipements signés Asus, Cisco, Linksys, Motorola, Netgear, ou encore Sercomm, et Zyxel. WikiDevi recense près de 30 modèles différents embarquant des SoC de Quantenna.
Synopsis assure que ses processeurs ARC ont été utilisés par plus de 220 clients, qui livrent près de deux milliards de puces à cœur ARC par an, dans le monde entier.