Une variante de Mirai vise de nouveaux modems

Non content de faire des émules, comme avec le botnet Reaper, Mirai, qui avait considérablement fait parler de lui à l’automne dernier, pourrait bien être en train de revenir, au moins sous la forme d’une variante. Encore une fois, ce sont les chercheurs du Netlab de 360.cn qui lèvent le voile sur de nouvelles activités suspectes.

Dans un billet de blog, ils expliquent avoir observé, la semaine dernière, une croissance du trafic exploratoire sur les ports TCP 2323 et 23 (utilisé par le protocole Telnet) à partir de « près de 100 000 adresses IP uniques venant d’Argentine ». Et pour eux, il s’agit bien d’une variante de Mirai.

Pour mémoire, le code source de Mirai est public depuis le mois d’octobre 2016. Et celui-ci balaie les adresses IP accessibles en ligne à la recherche d’objets connectés mal sécurisés, utilisant notamment des identifiants d’administration par défaut. Modernisé, Mirai avait déjà un important retour deux mois plus tard, visant cette fois-ci les modems routeurs de Deutsche Telekom. L’opérateur a détaillé, en mai dernier, la façon dont il avait repoussé cet assaut.

Celui que les chercheurs du Netlab de 360.cn suspectent aujourd’hui d’être une variante de Mirai s’attaque notamment à de nouveaux identifiants d’administration de modems, ceux des Zyxel PK5001Z, connus depuis début 2016. Mais un code de démonstration d’exploitation de cette vulnérabilité est disponible depuis la fin octobre.

1,384 new unique IP addresses were found in the #Mirai-like #botnet on 2017-11-29

This is an all-time record for the most new unique IP addresses that I've seen added to the botnet in one day.

A massive increase of volume from Egypt, Colombia, Tunisia, and Ecuador is the cause. pic.twitter.com/2h28nID7Kf

— Bad Packets Report (@bad_packets) November 30, 2017

Mais cette nouvelle variante ne semble pas se contenter de l’Argentine : des adresses IP en Colombie et Equateur ont été observées, de même que d’autres, plus près de l’Europe, en Egypte, en Turquie et en Tunisie, notamment. Surtout, la progression du nombre d’adresses IP uniques associées à ce nouveau Mirai semble battre tous les records, selon Troy Mursch, de Bad Packets Report.