Toute apparition de un nouvel outil utilisé par les pirates russes notoires et perturbateurs Sandworm fera sourciller les professionnels de la cybersécurité prêts à faire face à des cyberattaques à fort impact. Lorsque les agences américaines et britanniques mettent en garde contre l’un de ces outils repérés dans la nature au moment même où la Russie prépare une éventuelle invasion massive de l’Ukraine, cela suffit à sonner l’alarme.
Mercredi, le National Cybersecurity Center du Royaume-Uni et la Cybersecurity and Infrastructure Security Agency des États-Unis ont publié des avis avertissant qu’ils, ainsi que le FBI et la NSA, avaient détecté une nouvelle forme de malware de périphérique réseau utilisé par Sandworm, un groupe lié à certains d’entre eux. les cyberattaques les plus destructrices de l’histoire et considérées comme faisant partie de l’agence de renseignement militaire russe GRU.
Le nouveau malware, que les agences appellent Cyclops Blink, a été trouvé dans des dispositifs de pare-feu vendus par la société de matériel réseau Watchguard depuis au moins juin 2019. Mais le NCSC prévient qu’« il est probable que Sandworm soit capable de compiler le malware pour d’autres architectures ». et le micrologiciel”, qu’il a peut-être déjà infecté d’autres routeurs de réseau courants utilisés dans les foyers et les entreprises, et que le “déploiement du logiciel malveillant semble également aveugle et répandu”.
On ne sait toujours pas si Sandworm a piraté des appareils réseau à des fins d’espionnage, construit son réseau de machines piratées à utiliser comme infrastructure de communication pour de futures opérations, ou ciblé des réseaux pour des cyberattaques perturbatrices, déclare Joe Slowik, chercheur en sécurité pour Gigamon et un ancien traqueur du groupe Sandworm. Mais étant donné que l’histoire passée de Sandworm en matière de chaos numérique comprend la destruction de réseaux entiers au sein d’entreprises et d’agences gouvernementales ukrainiennes, le déclenchement de pannes en ciblant les services publics d’électricité en Ukraine et la diffusion du logiciel malveillant NotPetya qui s’est propagé à l’échelle mondiale et a coûté 10 milliards de dollars de dégâts, Slowik dit même un La décision ambiguë des hackers mérite d’être prudente, d’autant plus qu’une autre invasion russe de l’Ukraine se profile.
“Il semble définitivement que Sandworm ait continué sur la voie de la compromission de réseaux relativement importants de ces appareils à des fins inconnues”, déclare Slowik. “Il y a un certain nombre d’options qui s’offrent à eux, et étant donné qu’il s’agit de Sandworm, certaines de ces options pourraient être préoccupantes et déboucher sur le refus, la dégradation, la perturbation et potentiellement la destruction, bien qu’il n’y ait aucune preuve de cela pour le moment.”
La CISA et le NCSC décrivent tous deux le logiciel malveillant Cyclops Blink comme le successeur d’un ancien outil Sandworm connu sous le nom de VPNFilter, qui a infecté un demi-million de routeurs pour former un botnet mondial avant d’être identifié par Cisco et le FBI en 2018 et en grande partie démantelé. Rien n’indique que Sandworm ait pris le contrôle de presque autant d’appareils avec Cyclops Blink. Mais comme VPNFilter, le nouveau logiciel malveillant sert de point d’ancrage sur les périphériques réseau et permettrait aux pirates de télécharger de nouvelles fonctionnalités sur les machines infectées, que ce soit pour les enrôler comme proxy pour relayer les communications de commande et de contrôle ou pour cibler les réseaux où les périphériques sont installés. .
Dans sa propre analyse du malware, Watchguard écrit que les pirates ont pu infecter ses appareils via une vulnérabilité qu’il a corrigée dans une mise à jour de mai 2021, qui même avant cela n’aurait offert une ouverture que lorsqu’une interface de contrôle des appareils était exposée à l’Internet. Les pirates semblent également avoir utilisé une vulnérabilité dans la façon dont les appareils Watchguard vérifient la légitimité des mises à jour du micrologiciel, téléchargeant leur propre micrologiciel sur les dispositifs de pare-feu et l’installant afin que leurs logiciels malveillants puissent survivre aux redémarrages. Watchguard estime qu’environ 1% de son nombre total de pare-feu installés étaient infectés, bien qu’il n’ait pas donné de nombre total pour le nombre d’appareils que cela représentait. Watchguard a également publié des outils pour détecter les infections sur ses pare-feu et, si nécessaire, effacer et réinstaller leur logiciel.