Les routeurs ASUS sont devenus la cible d’un réseau de zombies naissant appelé Cyclops Blink, près d’un mois après qu’il ait été révélé que le logiciel malveillant utilisait les pare-feu WatchGuard comme tremplin pour accéder à distance aux réseaux violés.
Selon un nouveau rapport publié par Trend Micro, le botnet « a pour principal objectif de construire une infrastructure pour de nouvelles attaques sur des cibles de grande valeur« , étant donné qu’aucun des hôtes infectés « n’appartient à des organisations critiques, ou à celles qui ont une valeur évidente sur l’espionnage économique, politique ou militaire.«
Les agences de renseignement du Royaume-Uni et des États-Unis ont caractérisé Cyclops Blink comme un cadre de remplacement pour VPNFilter, un autre logiciel malveillant qui a exploité des périphériques réseau, principalement des routeurs pour petits bureaux et bureaux à domicile (SOHO) et des périphériques de stockage en réseau (NAS).
VPNFilter et Cyclops Blink ont tous deux été attribués à un acteur parrainé par l’État russe, suivi sous le nom de Sandworm (alias Voodoo Bear), qui a également été lié à un certain nombre d’intrusions très médiatisées, notamment celle de 2015 et 2016 sur le réseau électrique ukrainien, l’attaque NotPetya de 2017 et l’attaque Olympic Destroyer de 2018 sur les Jeux olympiques d’hiver.
Écrit en langage C, le botnet modulaire avancé affecte un certain nombre de modèles de routeurs ASUS, la société reconnaissant qu’elle travaille sur une mise à jour pour remédier à toute exploitation potentielle.
- GT-AC5300 firmware sous 3.0.0.4.386.xxxx
- GT-AC2900 firmware sous 3.0.0.4.386.xxxx
- RT-AC5300 firmware sous 3.0.0.4.386.xxxx
- RT-AC88U micrologiciel sous 3.0.0.4.386.xxxx
- RT-AC3100 firmware sous 3.0.0.4.386.xxxx
- RT-AC86U firmware sous 3.0.0.4.386.xxxx
- RT-AC68U, AC68R, AC68W, AC68P firmware sous 3.0.0.4.386.xxxx
- RT-AC66U_B1 firmware sous 3.0.0.4.386.xxxx
- RT-AC3200 firmware sous 3.0.0.4.386.xxxx
- RT-AC2900 firmware sous 3.0.0.4.386.xxxx
- RT-AC1900P, RT-AC1900P firmware sous 3.0.0.4.386.xxxx
- RT-AC87U (fin de vie
- RT-AC66U (fin de vie)
- RT-AC56U (fin de vie)
Le Cyclops Blink, en plus d’utiliser OpenSSL pour chiffrer les communications avec ses serveurs de commande et de contrôle (C2), intègre également des modules spécialisés capables de lire et d’écrire dans la mémoire flash des dispositifs, ce qui lui permet d’atteindre la persistance et de survivre aux réinitialisations d’usine.
Un deuxième module de reconnaissance sert de canal pour exfiltrer des informations du dispositif piraté vers le serveur C2, tandis qu’un composant de téléchargement de fichiers se charge de récupérer des charges utiles arbitraires, éventuellement via HTTPS.
Depuis juin 2019, le malware aurait impacté des appareils WatchGuard et des routeurs Asus situés aux États-Unis, en Inde, en Italie, au Canada et en Russie. Certains des hôtes touchés appartiennent à un cabinet d’avocats en Europe, à une entité de taille moyenne produisant des équipements médicaux pour les dentistes en Europe du Sud et à une entreprise de plomberie aux États-Unis.
Les appareils et routeurs IoT devenant une surface d’attaque lucrative en raison de la rareté des correctifs et de l’absence de logiciels de sécurité, Trend Micro a averti que cela pourrait conduire à la formation de « botnets éternels ».
« Une fois qu’un appareil IoT est infecté par des logiciels malveillants, un attaquant peut disposer d’un accès Internet sans restriction pour télécharger et déployer d’autres étapes de logiciels malveillants à des fins de reconnaissance, d’espionnage, de proxys, ou tout ce que l’attaquant veut faire« , ont déclaré les chercheurs.
« Dans le cas de Cyclops Blink, nous avons vu des appareils qui ont été compromis pendant plus de 30 mois (environ deux ans et demi) d’affilée et qui étaient configurés comme des serveurs de commande et de contrôle stables pour d’autres bots.«