fotogestoeber - Fotolia

Une variante de Mirai vise de nouveaux modems

Faut-il s’attendre à de nouvelles attaques en déni de service massif conduites par un successeur de ce tristement célèbre botnet ? Peut-être bien.

Non content de faire des émules, comme avec le botnet Reaper, Mirai, qui avait considérablement fait parler de lui à l’automne dernier, pourrait bien être en train de revenir, au moins sous la forme d’une variante. Encore une fois, ce sont les chercheurs du Netlab de 360.cn qui lèvent le voile sur de nouvelles activités suspectes.

Dans un billet de blog, ils expliquent avoir observé, la semaine dernière, une croissance du trafic exploratoire sur les ports TCP 2323 et 23 (utilisé par le protocole Telnet) à partir de « près de 100 000 adresses IP uniques venant d’Argentine ». Et pour eux, il s’agit bien d’une variante de Mirai.

Pour mémoire, le code source de Mirai est public depuis le mois d’octobre 2016. Et celui-ci balaie les adresses IP accessibles en ligne à la recherche d’objets connectés mal sécurisés, utilisant notamment des identifiants d’administration par défaut. Modernisé, Mirai avait déjà un important retour deux mois plus tard, visant cette fois-ci les modems routeurs de Deutsche Telekom. L’opérateur a détaillé, en mai dernier, la façon dont il avait repoussé cet assaut.

Celui que les chercheurs du Netlab de 360.cn suspectent aujourd’hui d’être une variante de Mirai s’attaque notamment à de nouveaux identifiants d’administration de modems, ceux des Zyxel PK5001Z, connus depuis début 2016. Mais un code de démonstration d’exploitation de cette vulnérabilité est disponible depuis la fin octobre.

Mais cette nouvelle variante ne semble pas se contenter de l’Argentine : des adresses IP en Colombie et Equateur ont été observées, de même que d’autres, plus près de l’Europe, en Egypte, en Turquie et en Tunisie, notamment. Surtout, la progression du nombre d’adresses IP uniques associées à ce nouveau Mirai semble battre tous les records, selon Troy Mursch, de Bad Packets Report.

Pour approfondir sur Menaces, Ransomwares, DDoS