Une avancée exceptionnelle a passé près de deux ans à infecter un large éventail de routeurs en Amérique du Nord et en Europe avec des logiciels malveillants qui prennent le contrôle total des appareils connectés sous Windows, macOS et Linux, ont rapporté des chercheurs le 28 juin.
Jusqu’à présent, les chercheurs des Black Lotus Labs de Lumen Technologies affirment avoir identifié au moins 80 cibles infectées par le logiciel malveillant furtif, y compris des routeurs fabriqués par Cisco, Netgear, Asus et DrayTek. Surnommé ZuoRAT, le cheval de Troie d’accès à distance fait partie d’une campagne de piratage plus large qui existe depuis au moins le quatrième trimestre de 2020 et continue de fonctionner.
Un haut niveau de sophistication
La découverte de logiciels malveillants personnalisés écrits pour l’architecture MIPS et compilés pour les routeurs de petits bureaux et de bureaux à domicile est importante, en particulier compte tenu de sa gamme de fonctionnalités. Sa capacité à énumérer tous les appareils connectés à un routeur infecté et à collecter les recherches DNS et le trafic réseau qu’ils envoient et reçoivent sans être détectés est la marque de fabrique d’un cybercriminel hautement sophistiqué.
“Bien que compromettre les routeurs SOHO en tant que vecteur d’accès pour accéder à un réseau local adjacent ne soit pas une technique nouvelle, cela a rarement été signalé”, ont écrit les chercheurs de Black Lotus Labs. “De même, les rapports d’attaques de type personne du milieu, telles que le détournement de DNS et de HTTP, sont encore plus rares et la marque d’une opération complexe et ciblée. L’utilisation de ces deux techniques a démontré de manière congruente un haut niveau de sophistication par un acteur de la menace, indiquant que cette campagne a peut-être été menée par une organisation parrainée par l’État.”
La campagne comprend au moins quatre logiciels malveillants, dont trois ont été écrits de toutes pièces par l’auteur de la menace. Le premier élément est le ZuoRAT basé sur MIPS, qui ressemble étroitement au malware Internet des objets Mirai qui a réalisé des attaques par déni de service distribuées record qui ont paralysé certains services Internet pendant des jours. ZuoRAT est souvent installé en exploitant des vulnérabilités non corrigées dans les appareils SOHO.
Une fois installé, ZuoRAT énumère les appareils connectés au routeur infecté. L’auteur de la menace peut alors utiliser le piratage DNS et le piratage HTTP pour amener les appareils connectés à installer d’autres logiciels malveillants. Deux de ces logiciels malveillants, appelés CBeacon et GoBeacon, sont personnalisés, le premier étant écrit pour Windows en C++ et le second écrit en Go pour une compilation croisée sur des appareils Linux et macOS. Pour plus de flexibilité, ZuoRAT peut également infecter les appareils connectés avec l’outil de piratage largement utilisé Cobalt Strike.
ZuoRAT peut faire pivoter les infections vers les appareils connectés en utilisant l’une des deux méthodes suivantes :
- Le détournement de DNS, qui remplace les adresses IP valides correspondant à un domaine tel que Google ou Facebook par une adresse malveillante exploitée par l’attaquant.
- Le piratage HTTP, dans lequel le malware s’insère dans la connexion pour générer une erreur 302 qui redirige l’utilisateur vers une adresse IP différente.
Volontairement complexe
Black Lotus Labs a déclaré que l’infrastructure de commande et de contrôle utilisée dans la campagne est intentionnellement complexe dans le but de dissimuler ce qui se passe. Un ensemble d’infrastructures est utilisé pour contrôler les routeurs infectés, et un autre est réservé aux appareils connectés s’ils sont infectés ultérieurement.
Les chercheurs ont observé des routeurs de 23 adresses IP avec une connexion persistante à un serveur de contrôle qui, selon eux, effectuait une enquête initiale pour déterminer si les cibles étaient intéressantes. Un sous-ensemble de ces 23 routeurs a ensuite interagi avec un serveur proxy basé à Taïwan pendant trois mois. Un autre sous-ensemble de routeurs s’est tourné vers un serveur proxy basé au Canada pour obscurcir l’infrastructure de l’attaquant.
