Le nouveau botnet Mirai cible les routeurs industriels

Lucas Morel

Les chercheurs en sécurité mettent en garde contre une nouvelle variante du botnet Mirai. Les attaquants l’ont utilisé pour des exploits Zero Day sur des routeurs industriels.

Selon une analyse de sécurité, le botnet Gayfemboy, basé sur le célèbre malware Mirai, se propage actuellement dans le monde entier. Les chercheurs du Chainxin X Lab ont découvert que les cybercriminels utilisent le botnet depuis novembre 2024 pour attaquer des vulnérabilités jusque-là inconnues. Les cibles privilégiées du botnet incluent les routeurs Four-Faith et Neterbit ou les appareils domestiques intelligents.

Les experts de VulnCheck ont ​​signalé fin décembre qu’une vulnérabilité dans les routeurs industriels Four-Faith (CVE-2024-12856) avait été exploitée dans la nature. Les attaquants ont exploité les identifiants par défaut du routeur pour lancer une injection de commande à distance.

En outre, le botnet a été utilisé pour des attaques ciblées sur des vulnérabilités inconnues des routeurs Neterbit et des appareils domestiques intelligents Vimar. Selon Chainxin X Lab, Gayfemboy a exploité plus de 20 vulnérabilités et des informations d’identification Telnet faibles pour accéder aux appareils. Il comprend un module de force brute pour les mots de passe Telnet non sécurisés, utilise un packaging UPX personnalisé avec des signatures uniques et implémente des structures de commande basées sur Mirai. Cela permet aux attaquants de mettre à jour les clients, d’analyser les réseaux et de mener des attaques DDoS.

Selon les chercheurs, le botnet attaque des centaines de cibles chaque jour depuis sa découverte en février 2024. Le nombre d’adresses IP de robots actives quotidiennement est de 15 000, dont la plupart sont situées en Chine, aux États-Unis, en Russie, en Turquie et en Iran. Les cibles sont réparties dans le monde entier et touchent divers secteurs, les principales cibles étant situées en Chine, aux États-Unis, en Allemagne, au Royaume-Uni et à Singapour.

Selon Chainxin X Lab, les attaques DDoS du botnet sont de courte durée (entre 10 et 30 secondes), mais sont de grande intensité, avec des débits de données supérieurs à 100 Gbit/s et capables de perturber même des infrastructures robustes.

Appareils vulnérables

Selon l’analyse, les attaques du botnet ciblent les appareils suivants :

  • Routeurs ASUS (via des exploits N-day)
  • Routeurs Huawei (via CVE-2017-17215)
  • Routeur Neterbit (exploit personnalisé)
  • Routeur LB-Link (via CVE-2023-26801)
  • Routeurs industriels à quatre religions (via le jour zéro désormais suivi sous le numéro CVE-2024-12856)
  • Caméras PZT (via CVE-2024-8956 et CVE-2024-8957)
  • Kguard DVR
  • Lilin DVR (via des exploits d’exécution de code à distance)
  • DVR génériques (utilisant des exploits comme TVT editBlackAndWhiteList RCE)
  • Appareils pour maison intelligente Vimar (exploitant vraisemblablement une vulnérabilité inconnue)
  • Divers appareils 5G/LTE (probablement en raison de mauvaises configurations ou de faibles informations d’identification)