Actu
Imperva : des hackers russes sont-ils à l’origine de Mirai ?
octobre 2016 par Imperva
Dans un article récent, les chercheurs de la société Imperva ont disséqué le tristement célèbre botnet Mirai.
Dans cet article, Imperva se penche sur les adresses IP utilisées pour maquiller le botnet et analyse le code source de celui-ci afin d’en savoir un peu plus sur les méthodes qu’il utilise. La société se focalise notamment sur les adresses IP que Mirai évite d’atteindre, celles-ci abritant peut être les auteurs du botnet.
Cette recherche peut être consultée dans son intégralité à l’adresse suivante : https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html ?
Les principaux éléments sont :
Dans l’ensemble, les adresses IP des dispositifs infectés par Mirai ont été repérés dans 164 pays. Comme le montre la carte ci-dessous, les adresses IP botnet sont très dispersées, apparaissant même dans ces endroits reculés comme le Monténégro, le Tadjikistan ou la Somalie.
Mirai dipose d’une liste de "Do not Mess With". L’une des choses les plus intéressantes révélée par le code était une liste "hardcoded" de robots IP que Mirai devait éviter lors de l’exécution de leurs balayages IP. Cette liste que vous pouvez trouver ci-dessous, comprend la poste américaine, le Ministère de la Défense, l’Internet Assigned Numbers Authority (IANA) et des plages d’adresses IP appartenant à Hewlett-Packard et General Electric.
Il est intéressant de noter que le code Mirai détient des traces de chaînes de langue russe en dépit de son interface en anglais C&C. Cela ouvre la porte des spéculations quant à l’origine du code : cet indice porte à croire que Mirai aurait été développé par des pirates informatiques russes ou du moins par un groupe de hackers, dont certains des membres seraient d’origine russe. D’autres morceaux de code, qui contiennent des blagues de Rick Rolls accompagnées de chaînes de caractères russes disant "Image" (qui pourrait se traduire par "J’aime les nuggets de poulet") donnent une indication supplémentaire sur l’origine des auteurs du code, ainsi que leur probable âge.
Autre fait intéressant, la nature « territoriale » de Mirai. Le malware contient plusieurs scripts tueurs destinés à éradiquer d’autres vers informatiques ou chevaux de Troie, ainsi qu’à interdire des tentatives de connexion à distance de l’appareil détourné.
