Une nouvelle attaque DDoS lancé vendredi dernier sur la société Dyn et par contrecoup sur les sites Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, The New York Times (Excusez du peu) démontre à la fois la fragilité et la résilience d’Internet.
De nombreux sites majeurs (Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud et The New York Times, Box, CNN, Imgur, PayPal, Github, Airbnb…) étaient inaccessibles vendredi dernier. La société, Dyn, dont les serveurs supervisent et redirigent le trafic Internet, a indiqué avoir été victime d’une attaque distribuée par déni de service (DDoS) juste après 7 heures du matin. Les rapports ont indiqué que de nombreux sites ont été inaccessibles d’abord sur la côte Est, mais en se propageant vers l’Ouest en trois vagues que la journée avançait et dans la soirée.
L’attaque aurait utilisé des centaines de milliers d’appareils connectés à Internet comme les caméras, moniteurs de bébé et des routeurs domestiques qui ont été infectés avec le malware Mirai qui permet aux pirates de les commander à inonder une cible avec le trafic diluvien pour faire tomber les serveurs.
Pour l’heure, les responsables non pas été démasqués mais le FBI et le Département de la Sécurité Intérieur laisse entendre que, étant donné la complexité de l’attaque, elle a vraisemblablement organisée par une nation, sans doute la Chine ou la Russie. Bruce Schneier, un expert en sécurité renommé n’a pas laissé trop de doutes sur l’origine de ces attaques en pointant ces deux pays.
Kyle York, le CTO Dyn, a déclaré que son entreprise et d’autres qui hébergent les éléments essentiels de l’infrastructure de l’Internet étaient des cibles pour un nombre croissant d’attaques sans cesse plus puissantes.
Les chercheurs en sécurité ont longtemps averti que le développement de l’Internet des objets présente un problème de sécurité énorme. Et l’assaut vendredi, les chercheurs en sécurité disent, est seulement un aperçu de la façon dont ces dispositifs peuvent être utilisés pour des attaques en ligne. Dyn, basée à Manchester dans l’état du New Hampshire a indiqué qu’il avait repoussé l’attaque à 9h30 mais qu’il a été attaqué à nouveau à 11h52. Après repoussé la deuxième vague d’attaques, Dyn a de nouveau été confronté à un flot de trafic à 17 heures. Dyn est l’une des nombreuses tenues qui hébergent le Domain Name System ou DNS.
Dale Drew, chef de la sécurité de Level 3, indique que près de 10 % de tous les dispositifs infectés par Mirai étaient utilisés pour attaquer les serveurs de Dyn. Il y a tout juste d’une semaine, Level 3 a révélé que 493.000 appareils avaient été infectés par des logiciels malveillants Mirai, près du double du nombre de personnes infectées mois dernier.
Dans un rapport récent, Verisign a rapporté une augmentation de 75 % dans ces attaques d’Avril à Juin de cette année, comparativement à la même période l’an dernier. Les attaques ne sont pas seulement plus fréquentes, elles sont plus massives et plus sophistiqués. L’attaque typique a plus que doublé en taille. Qui plus est, les attaquants ont été simultanément en utilisant des méthodes différentes pour attaquer les serveurs de l’entreprise, ce qui les rend plus difficiles à arrêter.
Les cibles les plus fréquentes sont désormais les entreprises qui fournissent des services d’infrastructure Internet comme Dyn.
Ces attaques interviennent en période électorale et Hillary Clinton avait clairement indiqué lors du troisième débat que 17 agences gouvernementales de sécurité avaient constaté que la Russie influençait les présentes élections.
Trente et un États et le District de Columbia autorisent le vote par internet pour les civils et militaires à l’étranger. L’Alaska permet à tout citoyen d’Alaska de le faire. « Une attaque DDoS pourrait certainement avoir un impact de ces votes et de faire une grande différence dans les swing states », a déclaré Barbara Simons, co-auteur du livre Broken Ballots : Will Your Vote Count ? « Ceci est un argument fort pour pourquoi nous ne devrions pas permettre aux électeurs d’envoyer leurs bulletins de vote voté sur Internet. »
Bertrand de Labrouhe (Area Vice President Southern EMEA & Mediterranean) chez Imperva
« L’attaque dont Dyn vient d’être victime est une attaque DDoS de type DNS flood. Les assaillants se concentrent sur les noms de serveurs pour ainsi empêcher les adresses web d’être résolues. Cette attaque revient à couper le réseau téléphonique avant une invasion pour empêcher que l’on sonne l’alerte. »
Bien qu’opérées Etats Unis, les attaques du type « déni de service », visant à saturer le trafic des sites ces dernières heures, ont eu un très fort impact sur les sites français. Les utilisateurs ont donc vu des sites lents, des composants absents voire dans certains cas l’impossibilité d’accéder aux sites. Sur les 64 sites monitorés au moment de l’attaque, le temps de connexion moyen des DNS a ainsi atteint 12 secondes, la moyenne normale d’établissant à 0,3 secondes.
« Nous n’avions jamais vu d’outage de cette ampleur, dont les conséquences sont aussi globales et importantes, explique Charlotte Nizieux, Directrice Marketing Dynatrace Europe du Sud. C’est un message clair pour tous les acteurs présents sur Internet : les problèmes de performance ne sont pas à prendre à la légère et les risques inhérents doivent être intégrés à leur stratégie digitale. Car plus que les sites eux-mêmes, ce type d’attaque touche directement les infrastructures ».
Vincent Lavergne, Directeur avant-vente de F5 Networks EMEA Europe
Le ciblage de DNS pour lancer des attaques DDoS est de plus en plus commun. DNS est en effet la technologie qui contrôle le trafic Internet et des emails et qui aide à gérer les messages entrants et sortants. DNS est la clef de voute de l’Internet permettant à tout un chacun de ne pas avoir à retenir les adresses IP des sites pour les applications mais leurs noms.
Les pirates ont récemment utilisé cette approche dans plusieurs attaques de haut niveau, comme par exemple dans le cas du botnet IoT Mirai utilisé plus tôt ce mois-ci contre OVH mais aussi auparavant lors de l’attaque qui a touché Spamhaus. Toutes deux ont en commun d’avoir été parmi les plus grandes attaques enregistrées à leur époque. Comme le prouve encore cette attaque, DNS est un protocole particulièrement ciblé de par la relative simplicité à forger des attaques puissantes (paquets UDP, technique d’amplification, etc.) ainsi que les dégâts causés. En effet si le DNS d’une société est indisponible, c’est l’ensemble des applications de cette entreprise qui ne sont plus accessibles.
Ce qui rend cette attaque différente c’est qu’un fournisseur de DNS spécifique, une société appelée Dyn ait été la cible, plutôt que des organisations spécifiques. En faisant cela, les pirates ont réussi à perturber un plus large éventail de cibles parmi les organisations qui utilisent les services du fournisseur dont des sites de renoms tels que Box, CNN, Imgur, PayPal Twitter, Spotify, Github, Airbnb, Reddit.
L’impact généré par cette attaque deviendra plus clair avec le temps, mais les piratages de cette nature mettent clairement en évidence la nécessité pour les entreprises de bénéficier de capacités de sécurité DNS plus robuste.
Détails du malware Miria
Dans un article récent, les chercheurs de la société Imperva ont disséqué le tristement célèbre botnet Mirai. Imperva se penche sur les adresses IP utilisées pour maquiller le botnet et analyse le code source de celui-ci afin d’en savoir un peu plus sur les méthodes qu’il utilise. La société se focalise notamment sur les adresses IP que Mirai évite d’atteindre, celles-ci abritant peut-être les auteurs du botnet.
Les principaux éléments sont :
Dans l’ensemble, les adresses IP des dispositifs infectés par Mirai ont été repérés dans 164 pays. Comme le montre la carte ci-dessous, les adresses IP botnet sont très dispersées, apparaissant même dans ces endroits reculés comme le Monténégro, le Tadjikistan ou la Somalie.
Mirai dispose d’une liste de « Do not Mess With ». L’une des choses les plus intéressantes révélée par le code était une liste « hardcoded » de robots IP que Mirai devait éviter lors de l’exécution de leurs balayages IP. Cette liste que vous pouvez trouver ci-dessous, comprend la poste américaine, le Ministère de la Défense, l’Internet Assigned Numbers Authority (IANA) et des plages d’adresses IP appartenant à Hewlett-Packard et General Electric.
Il est intéressant de noter que le code Mirai détient des traces de chaînes de langue russe en dépit de son interface en anglais C&C. Cela ouvre la porte des spéculations quant à l’origine du code : cet indice porte à croire que Mirai aurait été développé par des pirates informatiques russes ou du moins par un groupe de hackers, dont certains des membres seraient d’origine russe. D’autres morceaux de code, qui contiennent des blagues de Rick Rolls accompagnées de chaînes de caractères russes disant « » (qui pourrait se traduire par « J’aime les nuggets de poulet ») donnent une indication supplémentaire sur l’origine des auteurs du code, ainsi que leur probable âge.
Autre fait intéressant, la nature « territoriale » de Mirai. Le malware contient plusieurs scripts tueurs destinés à éradiquer d’autres vers informatiques ou chevaux de Troie, ainsi qu’à interdire des tentatives de connexion à distance de l’appareil détourné.
Cette recherche peut être consultée dans son intégralité à l’adresse suivante : https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html