Le botnet IoT Mirai tente une incursion dans le bitcoin

Des experts ont découvert un module dans le botnet Mirai capable de miner des bitcoins sur des objets connectés piratés. Une fonctionnalité vite disparue.

Une équipe du laboratoire de sécurité IBM X-Force a découvert à la fin mars une fonctionnalité un peu particulière au sein d’une variante du botnet Mirai. Il s’agit d’un module de minage de bitcoin. Cette fonction est au cœur même de la crypto-monnaie. Le système se sert de la puissance de calcul des CPU et des GPU des terminaux afin de réaliser des opérations mathématiques pour sécuriser les transactions bitcoin.

Le module découvert avait donc pour ambition de se servir de la puissance de calcul des hôtes infectés par Mirai pour miner des bitcoins. Mais cette puissance est relativement limitée, car les dispositifs compromis sont des caméras IP, des routeurs ou des DVR (enregistreurs numériques), ne disposant pas de puces très performantes.

Fonction furtive faute de performances

Est-ce la raison pour laquelle ce module de minage de bitcoin a disparu ? En tout cas, les experts en sécurité ont observé la présence de cette fonction entre le 20 et le 27 mars 2017. Elle a depuis été retirée. Les spécialistes estiment que ce module était une expérience et que, face aux faibles performances des objets connectés, le créateur a décidé de ne pas continuer dans cette voie.

Avec l’ouverture du code du botnet IoT Mirai à la fin octobre 2016, des dizaines de variantes du malware sont apparues. Mais aucune ne comprenait des fonctions dédiées au minage de bitcoin. L’itération découverte par les experts d’IBM visait les périphériques fonctionnant sur BusyBox en version 64 bits et vulnérables à des failles dans Telnet. Dans leurs analyses, les chercheurs d’IBM sont remontés jusqu’à une console web hébergée en Chine.

Rester sur le DDoS

Cette incursion dans l’écosystème bitcoin montre que les cybercriminels cherchent à rentabiliser différemment le botnet Mirai. Celui-ci et ses variantes sont habituellement utilisés pour mener des violentes attaques en déni de service. La force de frappe est particulièrement impressionnante comme le montrent les offensives menées contre le prestataire DNS Dyn, l’hébergeur OVH ou le Liberia.

Et la rentabilité est au rendez-vous en déclinant les DDoS en mode ‘as a service’. Mirai a d’ailleurs donné l’idée à d’autres développeurs de malwares de s’intéresser à l’IoT. La semaine dernière, Radware a mis au jour BrickerBot, un logiciel capable de détruire les objets connectés.

A lire aussi :

Le botnet IoT Mirai cible Windows pour mieux se répandre

Qui se cache derrière Anna-Senpai, l’auteur du botnet IoT Mirai

Crédit Photo : Nina-Lisa-Shutterstock