ake78 (3D & photo) - Fotolia
Mirai : une menace loin d’être passée
Le botnet continue d’afficher un impressionnant cheptel d’objets connectés zombies dont seulement une frange aurait été impliqué dans l’attaque qui a fait tousser Internet il y a semaine.
Voilà qui promet d’autres attaques comme celle qui a visé Dyn la semaine dernière et a entraîné l’indisponibilité, temporaire et au moins partielle, de nombreux services Cloud.
Selon le fournisseur de services managés, l’attaque a impliqué « jusqu’à 100 000 points de terminaison malicieux ». Mais si Dyn confirme encore une fois l’implication de zombies contrôlés par Mirai, il n’en précise pas le nombre. Tout juste se contente-t-il d’indiquer que « nous pouvons confirmer qu’un volume significatif de trafic d’attaque venait de botnets basés sur Mirai ».
De son côté, Arbor Networks précise que « le botnet Mirai originel compte actuellement une population flottante d’environ 500 000 objets connectés dans le monde entier ». La précision est importante : la diffusion publique du code source de Mirai, début octobre, a été l’occasion, pour ses créateurs, de faire des émules. Dès lors, difficile d’évaluer précisément le cheptel de bots à disposition des cybercriminels, qu’il s’agisse de simples amateurs, comme cela semble avoir été le cas pour Dyn, ou de groupes plus organisés. Et c'est sans compter avec les autres codes malveillants de prise de contrôle d'objets connectés.
Arbor Networks ne dit pas autre chose et prévient : « de multiples groupes d’acteurs menaçants travaillent activement à étendre et améliorer les capacités d’attaque par déni de service distribué (DDoS) des botnets basés sur des variantes de Mirai ». Et d’ajouter que les capacités « d’au moins un botnet dérivé de Mirai ont été observées » en ligne.
L’équipementier continue en suggérant plusieurs actions de prévention. De son côté, le britannique Malware Tech a créé un compte Twitter totalement automatisé rapportant les attaques de botnets Mirai (ou variantes) observées en temps réel. Actif depuis le 22 octobre, ce compte faisait déjà état, ce vendredi 28 octobre au matin, de plus de 200 attaques, de durées diverses, et utilisant des vecteurs tout aussi variés.