Une version de Mirai, appelée IZ1H9, est devenue la variante dominante du redoutable botnet, infectant d’innombrables appareils Linux et les utilisant à différentes fins néfastes.
Selon Unit 42, la branche cybersécurité de Palo Alto Networks, qui suit IZ1H9 depuis août 2018, dont les chercheurs ont révélé que depuis novembre 2021, un seul acteur menaçant déploie activement la variante.
La campagne n’a été repérée qu’à la mi-avril de cette année, et entre autres, l’acteur de la menace ciblait les terminaux déjà infectés par Mirai, effaçant les itérations précédentes afin de ne conserver que IZ1H9.
Réseau de zombies Mirai
« Le malware contient également une fonction qui garantit que l’appareil n’exécute qu’une seule instance de ce malware. Si un processus de botnet existe déjà, le client botnet mettra fin au processus en cours et en démarrera un nouveau », ont expliqué les chercheurs. Le logiciel malveillant est livré avec une liste de processus appartenant non seulement à d’autres familles de botnets, mais également à d’autres variantes de Mirai. S’il trouve ces processus en cours d’exécution sur l’appareil, il les terminera.
IZ1H9 se propage initialement via les protocoles HTTP, SSH et Telnet, ont ajouté les chercheurs, affirmant que la meilleure protection consiste à maintenir les appareils Linux corrigés et mis à jour.
« Pour lutter contre cette menace, il est fortement recommandé d’appliquer des correctifs et des mises à jour lorsque cela est possible », ont conclu les chercheurs.
Les botnets tels que celui-ci sont généralement utilisés pour monter des attaques par déni de service distribué (DDoS). Le DDoS est l’une des formes d’attaque les plus populaires, et il fonctionne en rendant un outil ou un service (comme, par exemple, un site Web) inaccessible. Lors d’une attaque DDoS, l’attaquant inonderait le serveur cible avec tellement de faux trafic que le serveur ne peut pas le gérer et finit par se boucher.
Pour obtenir ce type de trafic, l’attaquant aura besoin d’innombrables appareils (tels que des appareils Linux IoT, par exemple) pour envoyer des paquets de trafic à la même adresse.
Via : Infosecurity Magazine