Un ver informatique ciblerait les appareils basés sur les systèmes d'exploitation Linux depuis au moins l'année dernière. Il serait une version personnalisée de Mirai, un botnet qui infecte les serveurs, les routeurs, les caméras Web et d'autres dispositifs de l'Internet des objets basés sur Linux. Cette nouvelle variante de Mirai a été baptisée "Noabot" par les chercheurs en cybersécurité qui l'ont découvert. Une fois que les dispositifs sont compromis, le nouveau ver installe un logiciel de minage de cryptomonnaies qui prend des mesures inhabituelles pour dissimuler son fonctionnement interne. Le ver serait jusqu'ici inconnu et les appareils infectés s'étendraient au monde entier.
Au fur et à mesure que les entreprises augmentent leurs dépenses en sécurité pour protéger leurs infrastructures et pour les rendre plus résilientes aux cyberattaques, les acteurs de la menace innovent et déploient de nouvelles techniques d'attaques. Les dispositifs Linux sont confrontés à la menace d'un logiciel malveillant jusque-là inconnu qui pourrait avoir infecté des milliers d'équipements dans le monde. Des chercheurs de la société Akamai, spécialisée dans la sécurité et la fiabilité des réseaux, ont révélé l'existence de Noabot, un logiciel malveillant basé sur le ver Mirai, qui cible les appareils Linux depuis au moins le mois de janvier 2023.
Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant un système d'exploitation Linux en bots contrôlés à distance. Il forme ainsi un botnet qui est utilisé pour réaliser des cyberattaques à grande échelle sur les réseaux informatiques. Mirai s'est fait connaître en 2016 lorsqu'il a été utilisé pour mener des cyberattaques par déni de service distribué (DDoS) d'une ampleur record et qui ont paralysé des pans importants d'Internet cette année-là. Les créateurs ont rapidement publié le code source sous-jacent, ce qui a permis à un large éventail de groupes criminels du monde entier d'intégrer Mirai dans leurs propres campagnes d'attaque.
Une fois qu'il s'est emparé d'un appareil Linux, Mirai l'utilise comme plateforme pour infecter d'autres appareils vulnérables, une conception qui en fait un ver, c'est-à-dire qu'il se réplique. Traditionnellement, Mirai et ses nombreuses variantes se propagent lorsqu'un appareil infecté scrute Internet à la recherche d'autres appareils acceptant les connexions Telnet. Les appareils infectés tentent ensuite de déchiffrer le mot de passe Telnet en devinant les paires d'identifiants par défaut et les paires d'identifiants couramment utilisées. S'ils y parviennent, les appareils nouvellement infectés ciblent à leur tour d'autres appareils en utilisant la même technique.
Mirai a été principalement utilisé pour mener des attaques DDoS. Étant donné l'importance de la bande passante dont disposent de nombreux appareils de ce type, les flux de trafic indésirable sont souvent énormes, ce qui confère au botnet une puissance considérable. Cependant, NoaBot ne cible pas les mots de passe Telnet faibles, mais les mots de passe faibles reliant les connexions SSH. Autre nouveauté : au lieu d'effectuer des attaques DDoS, il installe un logiciel de minage de cryptomonnaies, qui permet aux acteurs de la menace de générer des pièces numériques en utilisant les ressources informatiques, l'électricité et la bande passante des victimes.
Le mineur de cryptomonnaies installé est une version modifiée de XMRig, un autre logiciel malveillant open source. Plus récemment, NoaBot a été utilisé pour diffuser P2PInfect, un ver distinct que des chercheurs de Palo Alto Networks ont révélé en juillet dernier. Akamai surveille NoaBot depuis 12 mois dans un pot de miel qui imite de vrais dispositifs Linux afin de suivre les diverses attaques qui circulent dans la nature. À ce jour, les attaques proviennent de 849 adresses IP distinctes, dont la quasi-totalité héberge probablement un appareil déjà infecté. L'image ci-dessus montre le nombre d'attaques transmises au pot de miel au cours de l'année écoulée.
« À première vue, NoaBot n'est pas une campagne très sophistiquée. Il s'agit "simplement" d'une variante de Mirai et d'un mineur de cryptomonnaie XMRig, qui sont monnaie courante de nos jours. Toutefois, les obscurcissements ajoutés au logiciel malveillant et les ajouts au code source original donnent une image très différente des capacités des acteurs de la menace » a écrit Stiv Kupchik, chercheur principal en sécurité chez Akamai, dans un rapport publié mercredi. Selon les chercheurs en cybersécurité d'Akamai, la capacité la plus avancée de NoaBot est la façon dont le botnet installe sa variante du logiciel de minage de cryptomonnaies XMRig.