Après avoir empoisonné la vie des entreprises et donné du fil à retordre aux enquêteurs et aux chercheurs en sécurité un peu partout dans le monde, le botnet Mirai basé sur le malware éponyme a fini par être cassé au milieu des années 2010. Mais la nature ayant horreur du vide, il n'a pas fallu attendre très longtemps pour voir éclore au fil des dernières années plusieurs variantes, dont il y a quelques mois la V3G4 qui s'attaquait aux terminaux IoT connectés à des serveurs Linux. L'histoire se répète malheureusement avec une dernière découverte émanant des chercheurs en sécurité d'Akamai.
« Fin octobre 2023, nous avons remarqué une légère augmentation de l'activité de nos honeypots de miel ciblant un port TCP rarement utilisé. L'activité a commencé par une petite poussée, culminant à 20 tentatives par jour, puis s'est réduite à une moyenne de deux à trois tentatives par jour, certains jours étant totalement dépourvus de tentatives », explique le fournisseur dans un billet de blog. « Jusqu'au 9 novembre 2023, les dispositifs vulnérables visés étaient inconnus. Les sondes étaient peu fréquentes et semblaient d'abord tenter une authentification via une requête POST, puis, en cas de succès, une exploitation par injection de commande.
La variante JenX Mirai de la partie
Après enquête, Akamai a pu observer le chemin d'exploitation HTTP spécifique de cette menace associé aux types de ports et services exposés. « Les premiers ports et services exposés suggéraient une prise en charge du protocole de streaming en temps réel et offraient des connexions "Viewer", ce qui laissait supposer un dispositif de caméra CCTV/NVR/DVR/de sécurité. Dans certains cas, les appareils trouvés dans la nature avec le protocole HTTPS activé présentaient des fuites d'informations supplémentaires provenant de la ligne Objet du certificat HTTPS qui nous dirigeait vers un domaine spécifique, que nous avons retracé jusqu'à un fabricant de NVR ».
« Cette activité découle d'un groupe de botnets Mirai qui semble utiliser principalement l'ancienne variante de malware JenX Mirai, rendue célèbre par l'utilisation de Grand Theft Auto pour enroler des terminaux IoT afin d'exécuter des ordres malveillants », explique le fournisseur. Selon lui, de nombreux domaines de commande et de contrôle (C2) ont été identifiés et présentent des chevauchements dans la résolution des adresses IP, ainsi que les mêmes dates pour les changements d'infrastructure, ce qui confirme ce lien. « En examinant les nouveaux hits qui diffusaient ces échantillons de logiciels malveillants, nous avons identifié un deuxième exploit de type zero day également exploité dans le cadre de cette campagne », a aussi prévenu Akamai.
Des correctifs pour décembre
A ce stade, le fournisseur n'a pas fourni d'informations sur les routeurs et les enregistreurs vidéo en réseau concernés mais indique que leurs fabricants ont été prévenus et que des correctifs seront déployés le mois prochain. En tout, une centaine de produits et périphériques NVR sont touchés d'après Akamai.
Commentaire