Un nouveau botnet Mirai fait surface en Argentine

Un nouveau réseau massif d’objets connectés à la solde de Mirai est en train de s’activer. C’est ce qu’annonce Netlab.

Cette société chinoise de sécurité, notamment spécialisée dans les services anti-DDoS, constate depuis le 22 novembre dernier une montée du trafic de scan des ports 2323 et 23 à partir de près de 100 000 adresses IP.

« Après enquête, nous sommes quasiment certains qu’il s’agit d’une variante de Mirai », avancent les chercheurs sur leur blog.

Les attaques passent par des tentatives de connexions aux interfaces de contrôle des objets. Deux identifiants sont aujourd’hui activement utilisés : admin/CentryL1nk et admin/QwestM0dem. Le premier est connu pour tenter de pénétrer les modems Zyxel PK5001Z.

En provenance d’Argentine

Le code d’attaque a été révélé publiquement le 31 octobre par Li Fengpei, un chercheur de Netlab.

Il exploite la vulnérabilité CVE-2016-10401 qui permet de se connecter en mode administrateur au modem en passant par le protocole Telnet avec les identifiants évoqués plus haut.

Si le code du malware date de fin octobre, le trafic l’exploitant a commencé à s’intensifier le 22 novembre avec un pic le lendemain avant de s’apaiser. Un comportement qui peut s’expliquer par l’absence de persistance de Mirai.

Autrement dit, le contrôle du modem est rompu si ce dernier est rebooté (avant éventuellement d’être réinfecté).

Selon NetLab, la majorité des attaques (65 700 adresses IP) proviennent d’Argentine, et particulièrement de l’opérateur Telefónica. Ce qui laisse entendre que nombre des modems Zyxel, probablement distribués aux clients résidentiels, sont concernés.

Sans conséquence visible pour l’heure. Mais les modems infectés pourraient être utilisés pour lancer des attaques DDoS, notamment. Si c’est le cas, on le saura bientôt.

Lire également
Explosion des attaques IoT, mais les PME résistent
Et si le botnet Mirai devenait éternel
Le botnet IoT Mirai cible Windows pour mieux se répandre