21 février 2017

Un cybercriminel chevronné développe un botnet Windows avancé pour propager le malware Mirai

Les experts de Kaspersky Lab analysent actuellement le premier dispositif sous Windows destiné à propager le malware Mirai, dans le cadre d’un effort concerté visant à neutraliser les botnets Mirai en circulation.

Les experts de Kaspersky Lab analysent actuellement le premier dispositif sous Windows destiné à propager le malware Mirai, dans le cadre d’un effort concerté visant à neutraliser les botnets Mirai en circulation. Le bot Windows paraît être l’œuvre d’un développeur aux compétences plus avancées que les auteurs des attaques DDoS massives, reposant sur Mirai, lancées vers la fin de 2016. Cet événement ne manque pas de susciter des inquiétudes quant aux utilisations et aux cibles futures des attaques employant ce malware. L’auteur du malware est vraisemblablement de langue chinoise. Selon les données de Kaspersky Lab, ces attaques ont déjà été dirigées contre environ 500 systèmes distincts en 2017 et les pays émergents qui ont lourdement investi dans les technologies connectées pourraient être particulièrement menacés.

Le dispositif de propagation sous Windows est plus riche et robuste que la base de code originale de Mirai mais la plupart de ses composants, techniques et fonctionnalités datent de plusieurs années. Ses capacités de diffusion sont limitées : à partir d’un hôte Windows infecté, le malware va chercher à contaminer un équipement de l’Internet des objets (IoT) fonctionnant sous Linux et vulnérable si le bot parvient à ouvrir avec succès une connexion telnet à distance par force brute.

Localisation du malware

En dépit de cette limitation, le code est clairement l’œuvre d’un développeur plus chevronné, bien que probablement nouveau venu sur la scène Mirai. Des éléments tels que des indices linguistiques dans le logiciel, le fait que le code ait été compilé sur un système chinois avec des serveurs hôtes basés à Taiwan, ainsi que l’exploitation abusive de certificats de signature de code volés à des entreprises chinoises semblent indiquer que le développeur est probablement sinophone.

« L’apparent portage de Mirai entre les plates-formes Linux et Windows est une véritable source de préoccupation, tout comme l’entrée en scène de développeurs plus expérimentés. La publication du code source du cheval de Troie bancaire Zeus en 2011 a entraîné des années de problèmes pour la communauté en ligne et il va en être de même pour l’Internet des Objets avec celle du code source du bot IoT Mirai en 2016. Des pirates plus chevronnés, s’appuyant sur des compétences et des techniques de plus en plus élaborées, commencent à exploiter le code Mirai librement accessible. Un botnet Windows propageant le malware IoT Mirai marque un tournant et permet d’infecter de nouveaux équipements et réseaux qui étaient jusqu’ici à l’abri. Ce n’est que le début », commente Kurt Baumgartner, chercheur principal en sécurité chez Kaspersky Lab.

Selon les données télémétriques de Kaspersky Lab, près de 500 systèmes distincts ont été attaqués en 2017 par ce bot Windows, des tentatives qui ont été à la fois détectées et bloquées. D’après la géolocalisation des adresses IP impliquées dans la deuxième phase d’attaque, les pays les plus vulnérables sont les marchés émergents qui ont lourdement investi dans les technologies connectées : Inde, Vietnam, Arabie saoudite, Chine, Iran, Brésil, Maroc, Turquie, Malawi, Emirats Arabes Unis, Pakistan, Tunisie, Russie, Moldavie, Venezuela, Philippines, Colombie, Roumanie, Pérou, Egypte, Bangladesh.

Kaspersky Lab collabore avec les CERT, les hébergeurs et les opérateurs réseau afin de contrer cette menace croissante pour l’infrastructure d’Internet en neutralisant un nombre important de serveurs de commande et contrôle. Cette action prompte et efficace réduit les risques et les dommages dus à la multiplication rapide des botnets IoT. L’expérience de Kaspersky Lab ainsi que ses relations avec les CERT et les opérateurs dans le monde entier permettent d’accélérer ces efforts.

Les produits Kaspersky Lab détectent et parent les bots Windows et Mirai. Les malwares concernés sont les suivants :

  • Trojan.Win32.SelfDel.ehlq 
  • Trojan.Win32.Agentb.btlt 
  • Trojan.Win32.Agentb.budb 
  • Trojan.Win32.Zapchast.ajbs 
  • Trojan.BAT.Starter.hj 
  • Trojan-PSW.Win32.Agent.lsmj 
  • Trojan-Downloader.Win32.Agent.hesn 
  • Trojan-Downloader.Win32.Agent.silgjn 
  • Backdoor.Win32.Agent.dpeu 
  • HEUR:Trojan-Downloader.Linux.Gafgyt.b 
  • DangerousPattern.Multi.Generic (UDS) 

Pour en savoir plus sur les outils et techniques du dispositif de propagation de Mirai sous Windows, lisez notre blog sur Securelist.com.

Articles related to Actualités Virus