Pour gérer vos consentements :

Le botnet IoT Mirai s’essouffle victime de son succès

Il est devenu l’épouvantail de la sécurité. En réussissant à enrayer le web américain pendant quelques heures, Mirai a gagné ses lettres de noblesse dans la communauté des cybercriminels. Et son succès a été confirmé par la mise en ligne de son code pour une plus grande diffusion. Mais contrairement à ce que l’on aurait pu penser, cette libération du code n’a pas eu comme effet d’amplifier la puissance des attaques, mais au contraire de « fragmenter » Mirai en réduisant le nombre d’objets connectés infectés.

Un constat établi par Flashpoint. La société de sécurité a montré ainsi qu’une attaque s’appuyant sur un botnet Mirai contre les sites des deux candidats à la présidentielle américaine s’est révélée un flop. Pour les experts de Flashpoint , « le paysage de botnet IoT semble saturé avec trop  de  contrôleurs et pas assez de terminaux vulnérables ». Il y a quelques semaines d’autres spécialistes estimaient que le botnet Mirai original comprenait plus de 300 000 objets connectés, principalement des caméras de surveillance et leurs enregistreurs numériques. Mais selon John Costello, cyber-analyste de Flashpoint sur la zone Asie-Pacifique, « actuellement, le plus grand botnet Mirai actif est composé de 92 à 96 000 objets ».

Une baisse de puissance, mais une infection encore vivace

Pour lui, la publication du code source de Mirai « a provoqué une concurrence entre de nombreux pirates pour contrôler les objets connectés sensibles à Mirai ». Dans le modus operandi de Mirai, le malware « désactive les modes de communications qui ont servi à l’infection du dispositif, bloquant ainsi la porte à d’autres infections ». En conséquence, il y a moins de terminaux à infecter et la concurrence des pirates fragmente le pouvoir du botnet Mirai. Et, donc, réduit sa capacité de nuisance.

Il faut ajouter aussi une meilleure capacité de réaction des opérateurs. Bob Rudis, chef de la sécurité chez Rapid 7 indiquait le 2 novembre dernier que Verizon et Comcast avaient constaté une baisse du trafic lié à Mirai, suggérant ainsi un début de remédiation. Le code source du malware comprend une seule voie pour définir le serveur C&C qui infecte le dispositif et donne les ordres d’attaques DDoS. Ce serveur peut être modifié rapidement en cas de danger, mais il est aussi plus visible par les opérateurs avec la possibilité de bloquer le trafic et éventuellement le débrancher. Mais si le serveur C&C disparaît, cela ne signifie pas que l’objet connecté est tiré d’affaire. Bien au contraire, s’il n’a pas été corrigé, il reste une cible pour un autre botnet Mirai.

A lire aussi :

Un botnet Mirai teste sa capacité de nuisance sur le Liberia

Des services de Level 3 interrompus : une nouvelle attaque DDoS Mirai ?

Photo credit: christiaan_008 via VisualHunt.com / CC BY-SA

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

14 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

15 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

18 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

21 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

24 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago