Crédit : Dreamstime
Une campagne d’attaques ciblées compromet les routeurs des particuliers et des petites entreprises depuis fin 2020 dans le but de détourner les communications réseau et d’infecter les ordinateurs locaux avec des portes dérobées furtives et sophistiquées.
Les attaques contre les routeurs domestiques ne sont pas nouvelles, mais les implants utilisés par les attaquants dans ce cas ont été conçus pour la reconnaissance du réseau local et les mouvements latéraux au lieu de simplement abuser du routeur lui-même.
« Le passage rapide au travail à distance au printemps 2020 a offert une nouvelle opportunité aux acteurs de la menace de renverser les protections traditionnelles de défense en profondeur en ciblant les points les plus faibles du nouveau périmètre du réseau : les appareils qui sont régulièrement achetés par les consommateurs mais rarement surveillés ou corrigés – routeurs pour petits bureaux/bureaux à domicile (SOHO), » des chercheurs de Black Lotus Labs, la branche de renseignement sur les menaces de la société de télécommunications Lumen Technologies, ont déclaré dans un rapport récent.
Implantation de logiciels malveillants pour plusieurs marques et modèles de routeurs
Lumen estime que la campagne d’attaque a compromis au moins 80 routeurs et réseaux et a observé des signes d’infection provenant de routeurs fabriqués par ASUS, Cisco, DrayTek et NETGEAR. Cependant, les chercheurs de l’entreprise n’ont réussi qu’à récupérer le script d’exploitation utilisé contre un routeur JCG-Q20.
« Dans ce cas, l’acteur a exploité des CVE connus (CVE-2020-26878 et CVE-2020-26879) à l’aide d’un fichier exécutable portable (PE) Windows compilé en Python qui faisait référence à une preuve de concept appelée ruckus151021.py, » ont déclaré les chercheurs. Le but du script est d’obtenir des informations d’identification et de charger malware Trojan d’accès à distance, que Lumen a surnommé « ZuoRAT. »
Bien qu’il ne soit pas clair comment les modèles de routeur d’autres fabricants ont été compromis, l’exploitation de vulnérabilités connues, comme dans le cas du modèle JCG-Q20, est une forte possibilité. Cependant, l’utilisation d’exploits zero-day ne peut être exclue ou d’autres techniques telles que le credential stuffing qui ont été observées dans d’autres attaques de routeurs dans le passé.
Il convient également de noter que le script d’exploitation identifié a été conçu pour être exécuté sur Windows, ce qui signifie que les attaquants pourraient l’utiliser pour attaquer un routeur à partir d’une machine Windows déjà compromise sur le même réseau.
De nombreux routeurs domestiques ont une surface d’attaque limitée à partir d’Internet (l’accès à distance est généralement désactivé par défaut), mais ils continuent d’exposer de nombreux services et interfaces de gestion au réseau local, ce qui peut être une source de vulnérabilités.
Malheureusement, les fabricants de routeurs continuent de traiter les réseaux locaux comme des environnements de confiance lors de la conception des appareils, bien que les infections par des logiciels malveillants à l’intérieur des réseaux locaux soient courantes.
Le script d’exploitation JCG-Q20 a exploité une faille d’injection de commande pour obtenir du matériel d’authentification, puis a utilisé ces informations pour télécharger et exécuter un binaire malveillant sur le routeur. Ce binaire est un cadre d’attaque malveillant écrit pour l’architecture MIPS que les chercheurs de Lumen ont surnommé ZuoRAT.
Le malware est une variante fortement modifiée de Mirai, un implant de type botnet pour les routeurs et autres appareils IoT qui est apparu à l’origine en 2016, mais qui a ensuite été open source et a servi de base à de nombreuses variantes de malware IoT depuis lors.
Alors que Mirai était à l’origine utilisé pour détourner des routeurs pour des attaques par déni de service distribué (DDoS), ZuoRAT se concentre sur la surveillance et les mouvements latéraux à l’intérieur des réseaux locaux.
Selon les chercheurs de Lumen, une fois exécuté, l’implant collecte des informations sur le routeur, y compris son adresse IP publique, et effectue un vidage de la mémoire qui peut révéler les informations d’identification, les tables de routage et les tables IP stockées dans la mémoire de l’appareil.
Il surveille ensuite le LAN local pour les adresses IP dont les services s’exécutent sur les ports suivants : 21, 22, 23, 80, 135, 139, 443, 445, 808, 902, 912, 1723, 2323, 3306, 5222 , 5269, 5280, 5357, 8080, 8443 et 9001. Toutes ces informations sont ensuite envoyées au serveur de commande et de contrôle (C2).
Le malware contient une série de fonctions qui peuvent être utilisées pour effectuer la capture de paquets sur les connexions HTTP, TCP, FTP, DNS, SOCKS qui sont acheminées via l’appareil. Cela peut permettre aux attaquants de capturer les informations d’identification envoyées en clair sur ces connexions. D’autres fonctions permettent aux attaquants de configurer des règles de piratage DNS, où les ordinateurs locaux essayant d’accéder à des domaines légitimes sont redirigés vers des serveurs contrôlés par les attaquants.
Les chercheurs ont trouvé plus de 2 500 fonctions uniques dans le logiciel malveillant qui activent différentes capacités qui auraient pu être déclenchées par des modules supplémentaires téléchargés sur des routeurs infectés selon les besoins des attaquants. Celles-ci comprenaient l’énumération LAN, le piratage HTTP, la pulvérisation de mots de passe, l’énumération USB et l’injection de code.
« La visibilité de Black Lotus Labs indique que ZuoRAT et l’activité corrélée représentent une campagne hautement ciblée contre les organisations américaines et d’Europe occidentale qui se fond dans le trafic Internet typique via une infrastructure C2 obscurcie à plusieurs étapes, probablement alignée sur plusieurs phases de l’infection par le logiciel malveillant, » ont déclaré les chercheurs. « La mesure dans laquelle les acteurs s’efforcent de cacher l’infrastructure C2 ne peut être surestimée. »
Pour masquer leurs serveurs de commande et de contrôle, les attaquants ont acheminé le trafic des routeurs piratés via d’autres routeurs compromis qui servaient de proxy. Les routeurs proxy étaient périodiquement alternés.
Chargeur de logiciels malveillants Windows la deuxième étape
Les chercheurs ont également localisé un chargeur de logiciels malveillants Windows qui partageait des similitudes de code avec ZuoRAT, telles que des variables d’environnement, des chemins PDB et des adresses MAC codées en dur. Ils croient avec une grande confiance que ce chargeur était la prochaine étape de la chaîne d’attaque et a été déployé sur des ordinateurs à l’intérieur de réseaux locaux ciblés via les capacités de piratage DNS ou HTTP de ZuoRAT.
Le chargeur s’est fait passer pour un programme légitime et contenait une signature avec un certificat délivré à la société chinoise Tencent. Même si la signature n’était pas valide, les échantillons signés avec le certificat avaient un taux de détection plus faible sur VirusTotal que ceux qui n’étaient pas signés.
Le chargeur se connecte à un serveur C2 codé en dur pour télécharger des charges utiles supplémentaires. Les chercheurs ont identifié trois implants : un RAT personnalisé écrit en C qu’ils ont surnommé CBeacon, un RAT similaire écrit en Go surnommé GoBeacon et Cobalt Strike, un cadre d’accès à distance commercial couramment utilisé par les groupes de pirates. Go est un langage et un environnement d’exécution multiplateforme, de sorte que GoBeacon peut facilement être compilé de manière croisée pour macOS ou Linux.
CBeacon et GoBeacon permettent aux attaquants de collecter des informations sur l’appareil, de répertorier les fichiers dans les répertoires locaux, de télécharger des fichiers sur le serveur C2, de télécharger des fichiers depuis le serveur C2 et d’exécuter du shellcode supplémentaire en l’injectant dans d’autres processus.
Les attaquants ont été vus en train d’utiliser les services des sociétés chinoises Alibaba et Tencent soit pour héberger des fichiers (la plate-forme Yuque d’Alibaba), soit comme redirecteurs pour la commande et le contrôle (Tencent). Un mot chinois a également été trouvé dans les chemins PDB à l’intérieur du malware, suggérant peut-être une origine chinoise pour le malware, bien que ce ne soit pas une preuve suffisamment solide.
« Les capacités démontrées dans cette campagne : accéder à des appareils SOHO de différentes marques et modèles, collecter des informations sur l’hôte et le LAN pour informer le ciblage, l’échantillonnage et le détournement des communications réseau afin d’obtenir un accès potentiellement persistant aux appareils terrestres et intentionnellement furtif C2 infrastructure tirant parti des communications de routeur à routeur cloisonnées à plusieurs étages – indique un acteur hautement sophistiqué qui, selon nous, vit sans être détecté à la périphérie des réseaux ciblés depuis des années », ont conclu les chercheurs.
Les experts en sécurité ont mis en garde dès le début de la pandémie de COVID-19 que les employés distants sont plus faciles à cibler à l’intérieur de leurs réseaux domestiques car leurs appareils de travail ne bénéficient pas des mêmes niveaux de protection que lorsqu’ils sont derrière des pare-feu et des routeurs d’entreprise.
Bien que l’adoption et la mise en œuvre des principes de sécurité réseau Zero Trust puissent atténuer certains de ces risques, de nombreuses entreprises ont été contraintes d’effectuer un tunneling réseau fractionné sur leurs clients VPN afin d’alléger la charge sur leurs passerelles VPN et la bande passante disponible.
Cela signifie que dans de nombreux cas, une partie du trafic non critique ou non lié au travail provenant des appareils utilisés par leurs employés distants continue de transiter, potentiellement en clair, par les routeurs domestiques de ces utilisateurs.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
