Deux hackers ont créé un nouveau botnet gigantesque

Les cyberattaques de grande ampleur qui ont frappé des services aussi populaires que Twitter et Spotify et de très nombreux sites ces dernières semaines n'étaient peut-être que le début de quelque chose de plus inquiétant encore.

Deux hackers semblent avoir créé une nouvelle armée d'appareils appartenant à l'Internet des objets grâce à une version modifiée du tristement célèbre malware Mirai. Ces cybercriminels offrent les services de ce puissant botnet à quiconque est prêt à payer pour lancer des attaques par déni de service (DDoS), qui paralysent les sites ciblés.

Le mois dernier, des pirates informatiques non identifiés ont fait tomber plusieurs sites très populaires comme Twitter, Spotify et bien d'autres en se servant de Mirai, un type de malware désormais très répandu programmé pour trouver rapidement sur Internet des appareils faciles à pirater et les transformer en bots capables de lancer des attaques DDoS. Désormais, deux cybercriminels affirment avoir amélioré Mirai pour infecter de nouveaux appareils, surtout des routeurs. Cette nouvelle version du malware leur donne la capacité de prendre le contrôle de centaines de milliers - voire de millions - de nouveaux bots, selon des experts en sécurité.

L'un des deux hackers derrière ce nouveau Mirai affirme en tout cas qu'ils contrôlent déjà plus d'un million d'appareils piratés.

"Le Mirai original était facile à prendre, c'était comme voler des bonbons à des gosses", m'a expliqué par chat le hacker, qui se fait appeler BestBuy, en référence aux autres hackers, qui se livrent à une lutte sans merci sur Internet depuis des semaines pour contrôler des appareils vulnérables.

La firme de cybsersécurité Flashpoint, qui traque Mirai depuis cet été, écrit dans un post de blog publié mardi que "cette nouvelle variante de Mirai est certainement une tentative, de la part de l'un des 'botmasters' du Mirai déjà existant, d'étendre le nombre d'appareils infectés au sein de son botnet."

Un chercheur en sécurité indépendant connu sous le nom de MalwareTech, qui surveille aussi les attaques lancées grâce à Mirai depuis des semaines, affirment que les deux hackers sont désormais en possession de 75% de tous les appareils infectés par Mirai sur Internet, soit environ 400.000 appareils. Dale Drew, le chef de la sécurité chez Level 3 Communications, l'un des plus grands opérateurs de télécommunications Internet, explique par e-mail que le "bot count" de Mirai (le nombre d'appareils infectés utilisables pour lancer des attaques) atteint actuellement les 500.000 appareils, et il estime qu'il est "possible" que quelqu'un puisse utiliser "tout le potentiel du bot."

BestBuy affirme également être responsable de la panne qui a touché près d'un million de clients du fournisseur d'accès à Internet allemand Deutsche Telekom le week-end dernier.

"J'aimerais demander pardon aux clients de Deutsche Telekom - ce n'était pas notre intention", dit BestBuy.

BestBuy et son partenaire, qui se fait appeler Popopret, ont commencé à proposer l'accès à leur nouveau botnet Mirai la semaine dernière, en envoyant des spams via le protocole de chat XMPP/Jabber, comme le rapportait le blog BleepingComputer. Dans leur annonce, les hackers proposaient de louer "le plus gros botnet Mirai" jamais créé.

BestBuy explique qu'ils proposent différents tarifs aux clients potentiels, en fonction de leurs besoins. Pour à peine 2000$, détaille le hacker, un client peut louer 20.000 à 25.000 appareils pour lancer des attaques intermittentes d'une heure environ sur une durée de deux semaines, avec 15 minutes de "repos" entre les attaques. Pour 15.000 à 20.000$, les clients peuvent louer 600.000 bots pour lancer des attaques de 2 heures, avec entre 15 et 30 minutes de "repos". Cette offre plus coûteuse donne aux clients au minimum 700 gbps de trafic, selon le hacker.

On ne sait pas exactement combien de bots BestBuy et Popopret contrôlent vraiment, ni combien ils ont infectés eux-mêmes, par rapport à ceux qui avaient été infectée à l'origine par Mirai. Et il est évidemment dans leur intérêt de gonfler ces chiffres. Les hackers n'ont pas non plus souhaité détailler comment ils infectent de nouvelles cibles, se contentant d'affirmer qu'ils utilisent leur propre botnet "plus gros" pour s'emparer d'appareils vulnérables avant les autres hackers.

"Avoir le plus gros botnet, cela signifie que quand quelqu'un redémarre un appareil, nous nous en emparons avant tous les autres, explique BestBuy. Pourquoi ne pas attaquer Mirai avec Mirai ? Et tuer l'original."

Il est possible que les deux hackers aient trouvé un moyen de parvenir à un quasi-monopole sur les autres botnets Mirai en identifiant de nouvelles cibles grâce à une faille récemment découverte, et en étant plus rapides pour infecter et ré-infecter des cibles, selon des chercheurs en sécurité (en général, les appareils infectés par Mirai peuvent se débarrasser du malware grâce à un simple reboot, mais ils peuvent alors être ré-infectés par Mirai ou d'autres malwares).

"En gros, cela voudrait dire qu'ils disposent de plus de ressources que les autres acteurs, de plus de serveurs, d'un matériel plus performant, m'a expliqué Darren Martyn, un expert en sécurité qui connaît bien Mirai. La manière la plus simple d'y parvenir, c'est d'être plus rapide que les autres. Quand un appareil est désinfecté, c'est la course."

Les deux hackers semblent donc être en passe de remporter cette course, ce qui n'est sans doute pas une bonne nouvelle pour Internet. BestBuy affirme toutefois que les deux hommes ont des limites en termes d'éthique, et qu'ils "blacklistent" certaines IP pour empêcher leurs clients de s'attaquer à "l'infrastructure de certaines compagnies."

"C'est du business, mais il y a des limites à tout, assure BestBuy. Il y a des choses auxquelles il ne faut pas toucher sur Internet."