Une version modifiée de Mirai - un malware utilisé pour infecter et de prendre le contrôle de plus de 500 000 terminaux IP et IoT le mois dernier - a fait une nouvelle victime. Et non des moindres puisqu'il s'agit de l'opérateur Deutsche Telekom dont de nombreux abonnés ayant des routeurs Zyxel ont été ciblés par des pirates. Ces derniers ont utilisé la dernière mise à jour de Mirai et causé des problèmes de connexions Internet pour près d'un million de clients, d'après la société.
D'après Johannes Ullrich, chercheur en sécurité chez SANS Technology Institute, la mise à jour de Mirai a été spécifiquement conçue pour exploiter une vulnérabilité dans les routeurs Internet Zyxel. A l'origine, Mirai a été créé pour infecter les terminaux aux identifiants et mots de passe faibles en les scannant et en essayant une liste de plus de 60 combinaisons. Mais la dernière itération de ce malware cible aussi le service SOAP embarqué dans les routeurs Zyxel pour permettre de les exploiter.
Près de 5% des routeurs de Deutsche Telekom infectés
Deutsche Telekom a expliqué que la perturbation, qui a commencée dimanche après-midi, a causé des problèmes de connexion pour 900 000 clients sur un total de 20 millions. « L'attaque a tenté d'infecter les routeurs avec un malware, mais a échoué, ce qui a provoqué des crashs ou des restrictions pour 4 à 5% de tous les routeurs », a indiqué dans un e-mail la société.
Cependant, les recherches de Johannes Ullrich suggèrent que cette version de Mirai a réussi à piéger au moins quelques terminaux. Pour suivre la propagation du malware, il a mis au point un serveur web conçu pour agir comme un « pot de miel » permettant d'attirer l'attaque. « Une fois que Mirai infecte un système, il cherche à faire encore plus de victimes », indique le chercheur en sécurité. Lundi, ce dernier a trouvé 100 000 adresses IP uniques tentant d'infecter son honeypot.
Jusqu'à 2 millions d'autres routeurs infectés ?
Mais l'objectif de Mirai n'est pas simplement d'infecter. En prenant le contrôle de milliers de terminaux, ce malware peut former un botnet dont l'armée d'ordinateurs zombies peut alors être utilisée pour lancer des attaques massives par déni de service. C'est précisément ce qui s'est passé le mois dernier avec pour point d'orgue la mise hors connexion pendant de nombreuses heures de sites utilisant le DNS Dyn aux Etats-Unis. Johannes Ullrich n'a cependant pas observé de nouvelles attaques DDoS suite à la nouvelle version de Mirai. En revanche, des routeurs appartenant à d'autres compagnies et fournisseurs Internet ont probablement dû être infectés d'après le chercheur, pour un total qui pourrait atteindre deux millions.