iconimage - Fotolia
Mirai continue de faire des émules, toujours plus diversifiés
Une nouvelle variante du botnet continue de multiplier les cibles, visant notamment des systèmes d’entreprise signés Oracle ou VMware, mais pas uniquement, loin de là.
Le botnet Mirai, qui avait fait considérablement parler de lui à l’automne 2016, est loin d’être tombé en désuétude et continue, encore et toujours, de faire des émules. Après des variantes identifiées à l’automne dernier, visant les serveurs Apache Struts et les équipements SonicWall, et plus récemment encore, les systèmes WePresent et LG Supersign, une nouvelle montre un intérêt continu pour l’exploitation sans relâche de vulnérabilités connues. Les équipes de l’unité 42 de Palo Alto Networks, et les chercheurs d’Akamai continuent de suivre de près les évolutions des variantes de Mirai, et notamment de celle que le premier appelle tout simplement Echobot du fait des noms de certains des fichiers utilisés.
Les échantillons observés visent un large éventail de systèmes, compilés qu’ils apparaissent pour différentes architectures ARM, pour des processeurs Motorola 68000, des puces Mips, ou encore PowerPC, notamment.
L’éventail de vulnérabilités exploitées est à l’avenant, affectant des systèmes de stockage réseau (NAS) jusqu’aux boîtiers TV Dreambox en passant par des routeurs. Mais il faut ajouter à cela des serveurs Oracle Weblogic, des systèmes d’administration de terminaux Kace, des équipements de téléphonie sur IP, ou encore des systèmes SD-WAN signés VMware.
Comme le rappellent les équipes d’Akamai, les opérateurs de botnets « ne se contentent pas d’utiliser de nouvelles vulnérabilités visant des objets connectés, mais également des vulnérabilités de systèmes d’entreprise ». Las, certains des exploits aujourd’hui utilisés peuvent être anciens sans pour autant avoir fait l’objet d’un correctif.
L’approche semble s’inscrire dans la même logique que les découvertes du printemps. Et comme le relevaient alors les équipes de Palo Alto Networks, viser les entreprises donne aux opérateurs de ces botnets « accès à des liens avec une bande passante potentiellement plus importante que les liens grand public, offrant une puissance de feu plus grande pour des attaques en déni de service distribué ».