Le botnet Mirai est un célèbre botnet de l'internet des objets (IoT) et l'un des plus grands botnets de son époque. Il est apparu pour la première fois en septembre 2016 et a été utilisé pour mener des attaques Déni de service distribué (DDoS) massives contre diverses cibles.
Mirai est un exemple de logiciel malveillant de type "botnet". Le botnet logiciel malveillant infecte un ordinateur et ouvre un canal de commande et de contrôle (C2) vers l'infrastructure C2 de l'attaquant. Cela permet à l'attaquant d'envoyer des commandes au logiciel malveillant du réseau de zombies, qui les exécute en utilisant les ressources de la machine infectée. Avec de nombreux appareils infectés, les botnets sont en mesure de mener des attaques automatisées à grande échelle, telles que les attaques par déni de service (DDoS) ou le bourrage d'informations d'identification (credential stuffing).
Mirai est une forme de logiciel malveillant qui cible spécifiquement l'appareil IdO, profitant de l'état relativement faible de la sécurité de l'IdO. En fait, Mirai exploite le fait que nombre de ces appareils sont déployés avec leurs noms d'utilisateur et mots de passe faibles par défaut. Avec une courte liste de noms d'utilisateur et de mots de passe par défaut pour divers appareils IdO, Mirai a pu se connecter via Telnet et s'installer sur des centaines de milliers d'appareils IdO à son apogée.
Le botnet logiciel malveillant est généralement conçu pour se propager lui-même. Dans le cas de Mirai, le principal vecteur d'infection était la connexion à un appareil IdO vulnérable par Telnet. En conséquence, les robots Mirai ont effectué des analyses régulières des cibles vulnérables accessibles via Telnet et ont transmis le logiciel malveillant à toutes celles qu'ils ont identifiées.
Les réseaux de zombies peuvent être utilisés à des fins diverses. Toute attaque automatisée, telle qu'un DDoS ou une attaque par saturation, peut être considérablement amplifiée si des centaines ou des milliers de robots l'exécutent en parallèle.
Mirai est un exemple de botnet spécialisé dans les attaques DDoS. Au début, il était utilisé pour mener des attaques DDoS contre les serveurs Minecraft à des fins d'extorsion. Depuis, Mirai a été utilisé pour mener des attaques très médiatisées contre un grand nombre d'organisations. Une attaque très médiatisée contre Dyn - un profil DNS largement utilisé - a eu pour effet de rendre inaccessible une partie importante de l'internet pendant toute la durée de l'attaque.
Le site application de Mirai a été considérablement élargi lorsque son code source a été rendu public en septembre 2016. En accédant au code source, d'autres cybercriminels pourraient adapter le logiciel malveillant du réseau de zombies, qui connaît un grand succès, pour créer leurs propres réseaux de zombies. Il s'agit notamment de configurer le logiciel malveillant pour qu'il pointe vers sa propre infrastructure C2 - ce qui lui permet de diriger ses attaques - ou d'ajouter des capacités supplémentaires telles que de nouveaux mécanismes d'infection ou de nouvelles capacités - telles que le credential stuffing, le cryptojacking ou d'autres attaques automatisées.
Mirai représente une menace multiple pour les organisations et les particuliers. La première provient de l'objectif principal du botnet Mirai, qui est de mener des attaques DDoS. Un réseau de zombies massif ciblant un service par une attaque DDoS a une forte probabilité de faire tomber ce service, à moins qu'il n'ait mis en place de solides protections anti-DDoS.
La menace Mirai a été exacerbée par la fuite publique de son code source. Plusieurs botnets IoT modernes sont des descendants de Mirai dont le code source a été modifié pour répondre aux objectifs de leurs propriétaires. Ces réseaux de zombies représentent un éventail plus large de menaces pour les organisations, car ils peuvent être utilisés pour le credential stuffing, le cryptojacking et d'autres attaques au-delà des campagnes DDoS.
Enfin, Mirai constitue une menace pour les propriétaires d'appareils DDoS vulnérables. Le logiciel malveillant utilise la puissance de calcul et la bande passante du réseau de ces appareils pour mener des attaques DDoS. Toutefois, l'accès à ces systèmes pourrait également être utilisé de manière abusive pour espionner ou mener d'autres attaques contre leurs propriétaires.
Mirai, comme beaucoup d'autres botnets, profite des faiblesses de la sécurité IdO d'Appareil. Voici quelques bonnes pratiques pour se protéger contre Mirai et ses descendants :
Mirai et d'autres réseaux de zombies DDoS représentent un risque important pour la disponibilité des services et des systèmes des entreprises. Une attaque DDoS à grande échelle contre une organisation peut la submerger avec plus de trafic qu'elle ne peut en gérer, la rendant indisponible pour les utilisateurs légitimes.
Quantum Protecteur contre les attaques par déni de service (DDoS ) de Check Point permet aux entreprises de filtrer le trafic DDoS à grande échelle, en bloquant les attaques DDoS et en permettant aux utilisateurs légitimes d'accéder aux ressources et aux services de l'entreprise. Pour en savoir plus sur l'exposition de votre organisation aux attaques automatisées, utilisez l'analyseur de robots DDoS gratuit de Check Point.