Satori : la variante de Mirai s’attaque à de nouvelles cibles pour en faire des zombies

Des acteurs malveillants semblent décidés à constituer un vaste réseau d’équipements connectés zombies. Ils marchent dans les pas du célèbre Mirai.

Le mois dernier, les chercheurs du Netlab de 360.cn expliquaient avoir observé une croissance du trafic exploratoire sur les ports TCP 2323 et 23 – ce dernier étant utilisé par le protocole d’administration à distance Telnet – à partir de 100 000 adresses IP uniques venant d’Argentine.

Pour eux, il s’agissait d’une variante de Mirai. Celle-ci, qu’ils ont baptisée Satori, a continué d’évoluer récemment, visant désormais les ports 37215 et 52869. Lors des dernières observations des chercheurs, ce sont 263 250 adresses IP uniques qui ont cherché des systèmes vulnérables sur le premier port, et près de 20 000 sur le second.

Les chercheurs du Netlab de 360.cn soulignent que le second port TCP renvoie à la vulnérabilité CVE-2014-8361. Mais pour le premier, la vulnérabilité visée « n’est pas encore pleinement dévoilée ». Elle pourrait nénamoins concerner des routeurs Huawei. Les chercheurs relevent surtout que Satori affiche un comportement de ver dans sa diffusion.

Pour mémoire, le code source de Mirai est public depuis le mois d’octobre 2016. Celui-ci balaie les adresses IP accessibles en ligne à la recherche d’objets connectés mal sécurisés, utilisant notamment des identifiants d’administration par défaut. Modernisé, Mirai avait déjà fait un important retour deux mois plus tard. Il visait cette fois-ci les modems routeurs de Deutsche Telekom. L’opérateur a détaillé, en mai dernier, la façon dont il avait repoussé cet assaut.

656 new unique IP addresses were found in the #Mirai-like #botnet on 2017-12-03

Daily botnet volume has declined since peaking at an all-time high of 1,384. However, a large percentage of devices from Egypt and Colombia continue to be seen in the daily totals. pic.twitter.com/yAD8OfJM2K

— Bad Packets Report (@bad_packets) December 5, 2017

Aujourd’hui, Satori semble diversifier ses cibles. Il recrute surtout entre la Colombie et l’Afrique du Nord, à un rythme moins élevé que précédemment.

Parallèlement, les forces de police de plusieurs pays, dont le FBI et Europol, ont coopéré pour démanteler Andromeda, aussi appelé Gamarue, avec l’aide de Microsoft et d’Eset. Ce botnet apparu en 2011 s’appuyait fin 2016, selon Fortinet, sur plus de trois millions de machines. L’une de ses versions détournait les ressources processeur des zombies pour miner des bitcoins.