Le botnet Mirai à l’origine des attaques DDoS identifié ?
A la fin de l’année dernière, nous avions écrit au sujet d’attaques DDoS ayant pris pour cible le journaliste d’investigation spécialisé dans le cybercrime bien connu, Brian Krebs.
Le terme DDoS est malheureusement devenu tristement célèbre ces derniers temps (au cas où vous vous demanderiez, cela se prononce “dee-doss”), un acronyme de Distributed Denial of Service.
En effet, il s’agit de la mise en réseau de milliers, voire de millions, d’ordinateurs afin d’utiliser en même temps un service en ligne particulier, qu’ils ont pris pour cible.
Un DDoS est, par définition, une cyberattaque, et ce même si le trafic internet créé reste tout à fait inoffensif en temps normal, comme par exemple la visite de la page d’accueil d’un site internet d’un tiers.
Le site internet de Krebs a été victime d’une attaque DDoS avec plus de 600Go/sec de trafic inutile, produit par le botnet Mirai, un réseau de machines zombie, constitué d’ordinateurs infectés avec le fameux malware dénommé Mirai.
Le botnet Mirai ne se compose pas d’ordinateurs portables, de postes de travail ou de serveurs infectés, mais d’une vaste gamme d’objets connectés de faible puissance, qui composent l’Internet des objets (IoT), comme des routeurs domestiques et des webcams.
Malheureusement, quand il s’agit de générer du trafic internet bidon, un routeur à 10€ ou une webcam de 15€ sont plus que suffisants pour saturer un réseau domestique, sur lequel on trouve facilement de la bande passante amont disponible, allant de 1Mo/sec à 10Mo/sec.
Pire encore, beaucoup de ces objets connectés sont conçus, assemblés et vendus avec peu de considération pour la sécurité, et sont installés avec peu de précaution, souvent avec des mots de passe par défaut bien connus et inchangés, et avec l’accès laissé ouvert à quiconque voudrait entrer.
Plus directement, les objets connectés qui représentent en général 5% du prix de votre ordinateur portable, ont tendance à obtenir à peine 5% d’attention concernant la sécurité, ou même moins, et ce même s’ils peuvent faire autant de dégâts lors d’une attaque DDoS.
NB : Si vous y réfléchissez, le trafic généré par votre ordinateur portable passe par votre routeur de toute façon. Ainsi votre ordinateur portable ne pourra pas générer plus de trafic internet que votre routeur ne pourra prendre en charge.
Les objets connectés non sécurisés sont donc largement utilisés par les cybercriminels, qui ont trouvé ici un moyen de gagner leur vie en prenant le contrôle de ces derniers, et en permettant à d’autres hackers de les utiliser, afin de frapper leurs victimes hors connexion.
Pourquoi des attaques DDoS ?
Il existe de nombreuses raisons pour mettre en œuvre une attaque DDoS : pour cibler un concurrent hors réseau afin de lui nuire professionnellement, pour extorquer de l’argent de manière ponctuelle, et enfin pour punir et se venger, et c’est qui a motivé à priori l’attaque ayant visé Krebs.
Mais qui se cache derrière l’attaque dont Krebs a été victime ?
Comment remonter à la source d’une attaque qui a été mise en œuvre via un réseau d’appareils à travers le monde ?
En fait, qui mieux que Krebs peut répondre à cette question …
… et c’est exactement ce qu’il pense avoir réussi à faire, comme il le décrit dans sa déclaration ci-dessous :
Il s’agit de la plus longue histoire que j’ai jamais écrite sur [mon] blog. Elle est longue parce que je voulais clairement expliquer à mes lecteurs le processus qui m’a conduit à cette découverte, et qui a pris des mois à émerger. Les nombreux détails permettent de mieux comprendre les motivations financières derrière le botnet Mirai et la guerre des botnets qui l’a précédé.
Nous avons vraiment apprécié le récit de son histoire pour les raisons que Krebs mentionne ci-dessus. Cependant, cela nous rappelle aussi le travail difficile mené par les services de police et pourquoi nous devons féliciter les enquêteurs spécialisés dans le cybercrime lorsqu’ils obtiennent de réels résultats :
Si vous vous êtes déjà demandé pourquoi à priori peu de cybercriminels étaient poursuivis devant la justice, je peux vous dire que le niveau de détermination et les ressources nécessaires aux enquêtes pour déterminer “qui a fait quoi, à qui (et pourquoi)” sur le net, est tout simplement énorme !
Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Le botnet Mirai à l’origine des attaques DDoS identifié ? : http://wp.me/p2YJS1-3aK
Billet inspiré de The Mirai DDoS botnet: Brian Krebs claims to know who wrote it, par, Sophos NakedSecurity.