Le FBI a accédé à distance et désinfecté des appareils situés aux États-Unis exécutant une nouvelle souche puissante de malware de botnet d’État russe, ont annoncé mercredi les autorités fédérales. Ces autorités ont ajouté que le Kremlin utilisait le logiciel malveillant pour pirater furtivement ses adversaires.
Les appareils infectés étaient principalement constitués d’appliances de pare-feu de WatchGuard et, dans une moindre mesure, d’appareils réseau d’Asus. Les deux fabricants ont récemment publié des avis fournissant des recommandations pour durcir ou désinfecter les appareils infectés par le botnet, connu sous le nom de Cyclops Blink. Il s’agit du dernier logiciel malveillant de botnet de la société russe Sandworm, qui fait partie des équipes de piratage parrainées par l’État les plus élites et les plus destructrices au monde.
Reprendre le contrôle
Cyclops Blink a été révélé en février dans un avis publié conjointement par le National Cyber Security Center (NCSC) du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI). . WatchGuard a déclaré à l’époque que le logiciel malveillant avait infecté environ 1% des périphériques réseau qu’il fabriquait.
Cyclops Blink a remplacé un autre logiciel malveillant conçu par Sandworm, connu sous le nom de VPNFilter, que les chercheurs ont découvert en 2018 infectant 500 000 routeurs basés aux États-Unis fabriqués par Linksys, MikroTik, Netgear, QNAP et TP-Link. Le FBI a rapidement saisi un serveur que Sandworm utilisait pour infecter des appareils avec VPNFilter. Une fois cette opération terminée, le bureau a demandé au public de redémarrer ses appareils. Avec cela, le botnet a été démantelé.
Cyclops Blink était la tentative de Sandworm de reprendre le contrôle persistant des périphériques réseau, et le malware a presque fonctionné. Dans un affidavit du tribunal descellé mercredi, les procureurs fédéraux ont écrit :
Comme avec VPNFilter, les acteurs de Sandworm ont déployé Cyclops Blink sur des appareils réseau dans le monde entier d’une manière qui semble être aveugle ; c’est-à-dire que l’infection par les acteurs de Sandworm d’un appareil particulier semble avoir été motivée par la vulnérabilité de cet appareil au logiciel malveillant, plutôt que par un effort concerté pour cibler cet appareil particulier ou son propriétaire pour d’autres raisons. Les acteurs de Sandworm l’ont fait en exploitant les vulnérabilités logicielles de divers périphériques réseau, principalement les appliances de pare-feu WatchGuard. En particulier, les appareils WatchGuard sont vulnérables à un exploit qui permet un accès à distance non autorisé aux panneaux de gestion de ces appareils.
Le botnet a persisté même après le 23 février. C’est alors que WatchGuard, en coordination avec le FBI, a publié des instructions pour remettre les appareils désinfectés dans un état propre et configurer les appareils pour empêcher un accès illimité aux interfaces de gestion. WatchGuard a également corrigé une vulnérabilité identifiée comme CVE-2022-23176, qui ouvrait le trou de contournement d’authentification lorsque les serveurs étaient configurés pour autoriser un accès de gestion illimité à partir d’adresses IP externes. Malgré le CVE publié cette année, a déclaré WatchGuard mercredi, la vulnérabilité a été entièrement corrigée en mai 2021.
Publicité
Les pentes glissantes et la loi des conséquences imprévues
Cependant, à la suite de l’avis de février, le nombre d’appareils du botnet Cyclops Blink n’a diminué que de 39 %. En réponse, le FBI est allé encore plus loin qu’il ne l’avait fait avec VPNFilter en 2018. Dans une opération de retrait clandestin masquée par un mandat fédéral, des agents ont accédé à distance à des appareils WatchGuard infectés connectés à 13 adresses IP basées aux États-Unis. A partir de là, les agents :
- Confirmation de la présence du malware Cyclops Blink
- Enregistrement du numéro de série utilisé par Cyclops Blink pour suivre ses bots
- Copié une liste d’autres appareils également infectés par Cyclops Blink
- Désinfecté les machines
- Ports de gestion Internet fermés pour empêcher Sandworm d’avoir un accès à distance
Ce n’est pas la première fois que le FBI accède à distance à un appareil infecté pour supprimer une menace, mais c’est un exemple précoce. De nombreux professionnels de la sécurité ont fait part de leurs inquiétudes quant au fait que de tels mouvements pourraient causer des dommages si de telles actions perturbaient accidentellement un processus critique. Les défenseurs de la vie privée ont également dénoncé l’exposition que de telles actions peuvent avoir sur les informations des particuliers.
Jake Williams, un ancien hacker de la NSA et maintenant directeur exécutif de Cyber Threat Intelligence à la société de sécurité SCYTHE, a exprimé les mêmes préoccupations concernant cette affaire. Il a déclaré que les mesures spécifiques prises par le FBI l’avaient cependant laissé se sentir plus à l’aise. Dans un message, il écrit :
Je pense que c’est toujours risqué pour LE [law enforcement] modifier quoi que ce soit sur un serveur qu’ils ne contrôlent pas. Cependant, dans ce cas, je ne pense pas qu’il y avait un risque significatif, donc les avantages l’emportaient clairement sur les risques. Beaucoup citeront des arguments sur la pente glissante comme raisons pour lesquelles cette action particulière était inappropriée, mais je pense que c’est faux. Le fait que le FBI se soit coordonné avec une entreprise privée (WatchGuard) dans cette action est particulièrement significatif.
L’affidavit du FBI indique qu’en septembre dernier, des agents ont interrogé des représentants d’une entreprise exploitant un appareil infecté sur son réseau. La société a autorisé les agents à prendre une image médico-légale de la machine et à “observer de manière prospective le trafic réseau associé à l’appliance de pare-feu”.
