Celui qui aurait dû jouer un peu moins à Minecraft (1/3)

Comment le botnet Mirai a semé la panique à la fin de l'été 2016.

mai 14, 2022

Bonjour,

Bienvenue dans ce nouvel épisode de Pwned. Ce soir, nous allons parler de Mirai, un botnet particulièrement puissant qui a fait trembler le web à partir des années 2016. Mais avant, voici le lien pour vous inscrire si ce n’est pas fait.

Pour commencer cette histoire, on va revenir au 20 septembre 2016. Il est 16h et Brian Krebs, un journaliste américain spécialisé sur le cybercrime, a deux heures pour faire ses bagages. Plus exactement, il a deux heures pour trouver un nouveau prestataire de protection contre l’attaque collective par saturation de service.

C’est la nouvelle appellation officielle, mais on parlera plus simplement ici d’attaque en déni de service distribué ou de DDoS (l’acronyme en anglais). Pour faire simple, c’est une manière malveillante de saturer un serveur de requêtes pour en empêcher l’accès aux autres.

Si votre site est dimensionné pour accueillir cent visiteurs en même temps, il devient inaccessible quand une foule de mille visiteurs (dont essentiellement des robots) se rue sur l’entrée. C’est cela, une attaque DDoS.

Pourquoi deux heures? Parce que l’entreprise qui protégeait pro bono Brian Krebs contre les attaques DDoS vient de jeter l’éponge, vaincue par un botnet dont on va entendre parler: Mirai.

Un botnet, c’est un réseau de machines compromises à cause d’une vulnérabilité informatique (mot de passe trouvé ou cracké, etc).On fait la comparaison avec des machines zombies, parce que les machines infectées par le botnet restent tapies dans l’ombre. Avant de bondir sur leur proie sous la forme de l’envoi d’une requête de connexion vers la cible.

Il y a du boulot car ce jour-là, le site de ce journaliste très réputé est en effet frappé par une attaque d’une ampleur considérable, d’environ 665 gigabits de trafic par seconde. On est en dessous du record actuel, de 3,47 terabits, mais c’est quand même très très haut.

Finalement, Brian Krebs va fermer volontairement son site pour quelques jours, faute de trouver une solution en si peu de temps. Puis Google prend la relève au nom de la lutte contre la censure. Comme quoi, le don’t be evil n’était pas une formule en l’air.

Les attaques de Mirai ne vont évidemment pas se limiter à celles contre le site de Brian Krebs. Le même jour, c’est l’hébergeur OVH qui est visé. La société nordiste compte dans le flux des requêtes dirigées vers lui des centaines de milliers de caméras compromises.

Dans son communiqué, on voit bien qu’OVH n’a pas compris les raisons précises de cette bouffée de haine. Cela veut dire que le mobile des attaquants n’est pas limpide, et ça a son importance.

Puis le 21 octobre 2016, il y a une nouvelle attaque DDoS massive contre le fournisseur de services DNS Dyn. Pour simplifier, le Domain name system, c’est ce service qui fait la traduction entre un nom de domaine (comme pwned.substack.com) et l’adresse réelle, l’adresse IP.

Cette attaque change la donne. Car si l’activité de Mirai avait déjà marqué les esprits des spécialistes, ce coup d’éclat fait trembler tout le web.

Ce jour-là, une partie des serveurs de Dyn ont été touchés dans l’Est des Etats-Unis, ce qui a bloqué pas mal de services, clients de Dyn, comme Twitter, GitHub, Reddit ou Netflix dans cette région. Après un élargissement de l’attaque, l’accès à de nombreux sites dans le monde entier a été entravé.

Quelques jours plus tard, Dyn donne d’autres informations intéressantes: après la cyberattaque du 21 octobre, les pirates derrière le botnet sont restés actifs en testant leurs défenses avec une série de petits coups de canif.

Vous vous dites que ça peut difficilement être pire. Eh bien si. Quelques semaines auparavant, sur le forum de script-kiddies Hackforums, l’internaute Anna-Senpai a lâché une petite bombe. En quelques lignes, elle dévoile les entrailles de Mirai. Ses muscles sont alors estimés à 300 000 machines infectées.

On résume: Anna-Senpai vient de dévoiler son code source, ouvrant la voie à des milliers de pirates en herbe. “Quand je suis rentrée dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps, j’ai gagné mon argent”, explique-t-elle.

Plus surprenant, à la fin de son long post, l’internaute précise qu’elle ne fera pas des tutoriels destinés aux débutants, mais que oui, elle pourra répondre aux questions précises.

Mais avant d’enquêter plus loin sur Anna-Senpai, il faut d’abord s’intéresser à Mirai. On le saura bien plus tard, mais son nom fait référence au manga Mirai Nikki de Sakae Esuno, qui raconte la lutte pour la survie d’un jeune garçon solitaire confronté à un jeu fantastique et mortel.

C’est un malware particulièrement novateur. Le programme scanne internet à la recherche d’objets connectés fonctionnant avec une version allégée du système d’exploitation Linux. Par exemple des caméras de surveillance, il y en a eu beaucoup, mais ça pouvait être aussi des routeurs, des appareils électroménagers, etc.

Une fois une cible trouvée, Mirai tente de se connecter à l’appareil. Comment? Eh bien tout simplement en jouant les identifiants et les mots de passe configurés par défaut ou les plus communs, comme root, admin ou password. Si vous avez perdu le contrôle de votre objet connecté à cette époque, oui, c’était une très mauvaise idée de ne pas les changer.

Mais vous n’avez sans doute rien remarqué. Les appareils infectés fonctionnaient normalement. Même si parfois ils étaient un peu lents, à cause d’une faiblesse de la bande passante, utilisée pour des attaques en déni de service…

C’est assez malin de la part des attaquants, car avec autant d’objets à la sécurité bien souvent négligée, sans rapport entre eux, il est difficile de mettre en place une contre-mesure pour bloquer l’attaque en déni de service. Comment distinguer la connexion légitime de celle d’une machine zombie?

Les premiers à repérer Mirai sont les chercheurs de MalwareMustDie, en août 2016. En fouinant dans le code, ces hackers éthiques arrivent à la conclusion que le botnet est le successeur d’un cheval de troie connu sous divers noms (Gafgyt, Lizkebab, Bashlite, Bash0day, Bashdoor et Torlus). “La morale de l'histoire, c’est qu’un groupe de mauvais hackers peut s'améliorer”, s’inquiètent-ils.

Ça fait quand même quelques indices intéressants. Faut-il vraiment croire la confession d’Anna-Sepai? Le code source ayant été divulgué, les trois attaques contre Brian Krebs, OVH et Dyn sont-elles du même auteur? Ou est-ce que la divulgation des secrets de Mirai est d’abord une manière de brouiller les pistes? On verra tout cela la semaine prochaine.

Bonne soirée,

Gabriel

Relecture: Mnyo

PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Minecraft beer (si si) - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).

Sources:

Ne dites plus DDOS, mais « attaque collective par saturation de service »

The Democratization of Censorship

Qu’est-ce qu’un botnet ?

KrebsOnSecurity Hit With Record DDoS

Microsoft: Here's how we stopped the biggest ever DDoS attack

Google a retiré le slogan « Don’t be evil » de son code de conduite

Mirai nikki

Octave Klaba, twitter

La goutte DDoS n’a pas fait déborder le VAC*

Résolveur DNS : définition

Dyn Status Updates