Botnet : Satori, ou quand un pirate en culotte courte réplique Mirai

Satori serait donc l’œuvre d’un seul pirate en herbe, isolé. En novembre dernier, les chercheurs du Netlab de 360.cn expliquaient avoir observé une croissance du trafic exploratoire sur les ports TCP 2323 et 23 – ce dernier étant utilisé par le protocole d’administration à distance Telnet – à partir de 100 000 adresses IP uniques venant d’Argentine.

Pour eux, il s’agissait d’une variante de Mirai. Celle-ci, qu’ils ont baptisée Satori – ainsi qu’Okiru par certains acteurs de l’industrie –, a continué d’évoluer, visant début décembre les ports 37215 et 52869. Lors des dernières observations des chercheurs, ce sont 263 250 adresses IP uniques qui ont cherché des systèmes vulnérables sur le premier port, et près de 20 000 sur le second.

Le code utilisé pour le port 37215 vient d’être rendu public : il vise la vulnérabilité CVE-2017-17215 qui affectait le routeur domestique HG532 de Huawei. Le constructeur a été informé par Check Point fin novembre et a publié le 22 décembre une alerte. Il propose des mesures de prévention – configurer le pare-feu interne et modifier le mot de passe, notamment – et a diffusé un correctif auprès de ses clients.   

Mais les équipes de Check Point sont allées plus loin, cherchant l’auteur de Satori. Et celui-ci semble bien moins compétent que l’on aurait pu jusque-là l’imaginer. Le pirate se cacherait ainsi sous le pseudonyme Nexus Zeta et serait actif sur certains forums spécialisés depuis l’été 2015. Récemment, son attention semble s’être précisément portée sur la construction de botnets inspirés de Mirai. Mais sans qu’il dispose de toutes les compétences nécessaires pour cela : fin novembre, il semble avoir demandé de l’aide pour « compiler le botnet Mirai ». Pour les chercheurs de Check Point, c’est donc bien simple : « Nexus Zeta ne semble pas être l’acteur avancé que nous avions initialement suspecté, mais un amateur avec beaucoup de motivation ».

Pas question pour autant de négliger la menace : « comme on le voir dans ce cas, et dans d’autres au cours de l’année passée, il est clair que la combinaison de code malveillant public et de mauvaise sécurité des objets connectés […] peut conduire à des résultats désastreux », y compris avec les pirates inexpérimentés ».

Pour mémoire, le code source de Mirai est public depuis le mois d’octobre 2016. Celui-ci balaie les adresses IP accessibles en ligne à la recherche d’objets connectés mal sécurisés, utilisant notamment des identifiants d’administration par défaut. Modernisé, Mirai avait déjà fait un important retour deux mois plus tard. Il visait cette fois-ci les modems routeurs de Deutsche Telekom. L’opérateur a détaillé, en mai dernier, la façon dont il avait repoussé cet assaut.