Il est désormais possible de louer un botnet Mirai pour mener des attaques DDoS

BestBuy et Popopret, deux hackers émérites, proposent depuis peu à la location un botnet Mirai afin de permettre à leurs clients de mener des attaques DDoS sans effort. D’après eux, il se composerait de 400 000 bots. À titre de comparaison, l’attaque qui a visé OVH le mois dernier s’appuyait sur un réseau composé de 200 000 appareils infectés, contre 100 000 pour celle qui ciblait Dyn.

Si le terme ne vous est pas familier, alors sachez qu’un botnet est en réalité un réseau de bots informatiques connectés à Internet et piloter par une ou plusieurs personnes.

Mirai

Il est possible de louer un botnet Mirai.

À la base, il désignait les réseaux de robots utilisés sur IRC, mais il fait désormais surtout allusion aux réseaux de machines zombies utilisés dans le cadre des attaques par déni de services.

Mirai, un botnet pas comme les autres

Mirai a commencé à faire parler de lui un peu plus tôt dans l’année et il se présente sous la forme d’un logiciel malveillant capable de générer des botnets en exploitant des failles propres à Linux. Il vise notamment les appareils positionnés sur le segment de l’IoT (Internet of Things) et c’est d’ailleurs ce qui le rend aussi redoutable, car ces objets connectés sont souvent mal sécurisés.

La solution a commencé à faire parler d’elle le 20 septembre dernier lorsqu’elle a été utilisée dans le cadre d’une attaque visant OVH, mais c’est vraiment le mois dernier qu’elle s’est retrouvée sous les feux des projecteurs grâce à la cyberattaque menée contre la société Dyn.

Cette dernière avait effectivement entraîné d’importantes perturbations sur plusieurs plateformes comme Netflix, PayPal, Reddit, Second Life, SoundCloud ou même Spotify et Twitter. De nombreux sites et médias comme Wired, le Wall Street Journal ou même CNN avaient également été touchés, à la stupeur générale.

Mais Mirai a aussi une autre particularité intéressante : son code source est disponible en ligne. Les hackers peuvent donc le télécharger et le modifier à leur guise.

BestBuy et Popopret prétendent avoir utilisé la solution pour créer un gigantesque botnet composé d’un peu plus de 400 000 machines infectées. Pour le mettre sur pied, ils auraient modifié le programme initial afin de lui permettre d’exploiter des failles zero-day et corrompre ainsi plus de machines.

Le plus surprenant reste à venir, car ils ont décidé de le mettre en location, à des tarifs variables.

Un botnet composé de 400 000 machines infectées

Selon Bleeding Computer, les 50 000 bots seraient proposés à un prix situé entre 3 000 et 4 000 dollars pour une durée de location de deux semaines avec des attaques d’une heure entrecoupées de cinq à dix minutes de pause. Les deux hackers ont également déclaré que leur système était capable de tromper certains systèmes anti-DDoS du marché en falsifiant l’adresse IP du botnet.

L’offre semble donc assez solide, mais les deux pirates ont refusé de procéder à une démonstration ou même de transmettre les captures écran demandées par nos confrères.

Ceci étant, il est important de signaler qu’ils n’en sont pas à leur coup d’essai. En réalité, ces hackers figurent parmi les membres actifs du Hell Forum et plusieurs experts ont établi un lien entre eux et le fameux malware GovRAT, un malware qui a permis à des personnes non identifiées de dérober des informations portant sur des entreprises et des institutions en lien avec le ministère de la défense américain.

Ce n’est pas tout, car MalwareTech, un chercheur en sécurité reconnu dans son domaine, a confirmé sur Twitter qu’un botnet de Mirai était équipé d’une fonction lui permettant de passer au travers des principaux systèmes anti-DDoS du marché. @MiraiAttack a pour sa part évoqué l’existence d’un botnet composé de plusieurs centaines de milliers de machines, un botnet qui aurait été utilisé dans l’attaque qui a paralysé le Liberia au début du mois.

Rassurez-vous cependant, car les deux hackers ont également profité d’une entrevue menée cette fois par Motherboard pour préciser qu’ils avaient mis en place un système de liste noire afin d’empêcher leurs clients de mener des attaques contre des infrastructures critiques.

BestBuy a d’ailleurs revendiqué la responsabilité de la panne qui a touché l’infrastructure de Deutsche Telekom le week-end dernier. Il a aussi précisé qu’il n’avait pas l’intention de porter atteinte à la connexion internet des clients du FAI. En réalité, il aurait juste cherché à infecter les routeurs de l’opérateur pour les enrôler dans son botnet Mirai.