Création de botnets

Les botnets dérivés de Mirai ont fait les gros titres au deuxième semestre 2016. Mirai a été initialement conçu pour infecter des appareils en forçant les identifiants Telnet (voir la liste des identifiants utilisés par la variante originale dans l’annexe « Analyse du code source de Mirai »). Il s’agit d’un vecteur de cyber attaques courant pour ce type de malware. L’ouverture des ports Telnet permet la prolifération de Mirai et d’autres cyber menaces. Nous avons remarqué que l’essentiel du balayage ciblant des ports Telnet ouverts provenait de pays asiatiques. Les cinq principales sources de balayage étaient Taïwan, la Chine, l’Inde, le Vietnam et la Corée du Sud. Les cibles les plus courantes de ces balayages étaient le Royaume-Uni, la Turquie et Taïwan. Nous avons constaté quelques tentatives d’infection de nos honeypots par des malware. Les plus employés pour ces tentatives étaient Gafgyt (un malware de type Mirai couramment utilisé pour créer des botnets IoT), Tsunami (une porte dérobée utilisée pour créer des botnets) et PnScan (utilisé pour créer des botnets à partir de routeurs Linux infectés). Toutes ces familles de malware sont bien connues des opérateurs de botnets. Ces tentatives d’infection semblent donc confirmer que le trafic détecté était lié à des pratiques de piratage.