Un descendant du bot Mirai transforme l’IoT en un réseau de proxys

L’attention monte autour d’une variante du bot Mirai capable de reconvertir les objets connectés qu’elle infecte en proxys.

Il a été démantelé et ses créateurs présumés ont plaidé coupable, mais son héritage se perpétue.

Lui, c’est Mirai.

Ce bot conçu pour prendre le contrôle d’objets connectés faiblement sécurisés – typiquement, ceux dont on n’a pas changé le mot de passe par défaut – avait fait ses premières victimes majeures à l’automne 2016, peu après la publication de son code source.

Il avait notamment été exploité dans le cadre d’une attaque par déni de service distribué (DDoS) contre OVH, dont les serveurs avaient été mis à mal par les requêtes simultanées de plus de 100 000 caméras IP.

Un autre assaut d’envergure avait frappé Dyn, le gestionnaire d’infrastructures DNS. De nombreux services s’en étaient trouvés perturbés, faute de pouvoir faire le rapprochement entre les noms des sites et les adresses de leurs serveurs Web.

De multiples variantes de Mirai ont émergé depuis lors. On a par exemple vu, l’an dernier, émerger Satori, qui a notamment « internalisé » la détection d’équipements vulnérables en s’appuyant sur des failles plutôt que sur de la force brute.

Une autre déclinaison, baptisée Okiru et qu’on attribue au même individu, vise spécifiquement les appareils dotés de processeurs ARC (architecture RISC). Sa découverte est récente, comme celle de Masuta et de sa variante PureMasuta, qui exploite une vulnérabilité dans le protocole d’administration HNAP.

Des proxys IoT

La liste vient de s’allonger avec Mirai OMG, ainsi dénommé en rapport à une chaîne de caractères qu’on retrouve à plusieurs reprises dans son code.

Fortinet le décrit comme le premier bot capable d’utiliser les machines infectées non seulement pour lancer des DDoS, mais aussi pour en faire des proxys probablement commercialisés auprès d’individus désireux d’anonymiser leurs activités sur le Net.

Bleeping Computer relativise cette affirmation, estimant que le malware est plus vraisemblablement le premier dans son genre à être distribué si massivement – et de donner l’exemple de ProxyM, impliqué l’an dernier dans des campagnes de spam.

Mirai OMG reprend de nombreuses caractéristiques de la souche dont il dérive ; entre autres, l’aptitude à « tuer » des processus (y compris d’autres bots).

Il a toutefois des fonctionnalités supplémentaires, comme un fichier de configuration embarqué et la possibilité d’ouvrir, dans les pare-feu, deux ports définis aléatoirement.

À la première connexion, le serveur de commande et de contrôle (C&C) lui communique une valeur qui active la fonction proxy (0) ou le mode DDoS (1).