Les routeurs ASUS sont devenus la cible d’un botnet naissant appelé Cyclope Clignotementprès d’un mois après avoir été révélé, le logiciel malveillant utilisait les appliances de pare-feu WatchGuard comme tremplin pour accéder à distance aux réseaux piratés.
Selon un nouveau rapport publié par Trend Micro, le « but principal du botnet est de construire une infrastructure pour de nouvelles attaques sur des cibles de grande valeur », étant donné qu’aucun des hôtes infectés « n’appartient à des organisations critiques, ou celles qui ont une valeur évidente sur le plan économique, politique, ou d’espionnage militaire. »
Les agences de renseignement du Royaume-Uni et des États-Unis ont qualifié Cyclops Blink de cadre de remplacement pour VPNFilter, un autre logiciel malveillant qui a exploité des périphériques réseau, principalement des routeurs pour petits bureaux/bureaux à domicile (SOHO) et des périphériques de stockage en réseau (NAS).
VPNFilter et Cyclops Blink ont tous deux été attribués à un acteur parrainé par l’État russe, suivi sous le nom de Sandworm (alias Voodoo Bear), qui a également été lié à un certain nombre d’intrusions très médiatisées, notamment celles des attaques de 2015 et 2016 contre le réseau électrique ukrainien. grille, l’attaque NotPetya de 2017 et l’attaque du destroyer olympique de 2018 contre les Jeux olympiques d’hiver.
Écrit en langage C, le botnet modulaire avancé affecte un certain nombre de modèles de routeurs ASUS, avec la société reconnaissant qu’il travaille sur une mise à jour pour faire face à toute exploitation potentielle –
- Micrologiciel GT-AC5300 sous 3.0.0.4.386.xxxx
- Micrologiciel GT-AC2900 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC5300 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC88U sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC3100 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC86U sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC68U, AC68R, AC68W, AC68P sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC66U_B1 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC3200 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC2900 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC1900P, RT-AC1900P sous 3.0.0.4.386.xxxx
- RT-AC87U (fin de vie)
- RT-AC66U (fin de vie)
- RT-AC56U (fin de vie)
Cyclops Blink, en plus d’utiliser OpenSSL pour crypter les communications avec ses serveurs de commande et de contrôle (C2), intègre également des modules spécialisés qui peuvent lire et écrire à partir de la mémoire flash des appareils, lui permettant d’atteindre la persistance et de survivre aux réinitialisations d’usine.
Un deuxième module de reconnaissance sert de canal pour exfiltrer les informations de l’appareil piraté vers le serveur C2, tandis qu’un composant de téléchargement de fichiers se charge de récupérer des charges utiles arbitraires éventuellement via HTTPS.
Depuis juin 2019, le logiciel malveillant aurait eu un impact sur les appareils WatchGuard et les routeurs Asus situés aux États-Unis, en Inde, en Italie, au Canada et en Russie. Certains des hôtes concernés appartiennent à un cabinet d’avocats en Europe, à une entité de taille moyenne produisant du matériel médical pour les dentistes en Europe du Sud et à une entreprise de plomberie aux États-Unis.
Les appareils et routeurs IoT devenant une surface d’attaque lucrative en raison de la rareté des correctifs et de l’absence de logiciel de sécurité, Trend Micro a averti que cela pourrait conduire à la formation de « botnets éternels ».
« Une fois qu’un appareil IoT est infecté par un malware, un attaquant peut avoir un accès Internet illimité pour télécharger et déployer plus d’étapes de malware pour la reconnaissance, l’espionnage, le proxy ou toute autre chose que l’attaquant veut faire », ont déclaré les chercheurs.
« Dans le cas de Cyclops Blink, nous avons vu des appareils qui ont été compromis pendant plus de 30 mois (environ deux ans et demi) d’affilée et qui ont été configurés en tant que serveurs de commande et de contrôle stables pour d’autres bots. »