LEBIGDATA.FR I.A, Cloud & Cybersécurité
Un nouveau malware sous forme de micrologiciel malveillant dissimule les terminaux des pirates, marchant dans les pas de VPNFilter.
Mardi, une découverte majeure a été dévoilée par des chercheurs : un malware sous forme de micrologiciel malveillant capable d'infiltrer divers routeurs résidentiels et petites entreprises. Ce réseau clandestin redirige discrètement le trafic vers des serveurs contrôlés par des pirates soutenus par l'État chinois. L'implant, découvert par Check Point Research, propose une porte dérobée complète. Il facilite les communications, transferts de fichiers, commandes à distance et modifications flexibles pour s'adapter à d'autres modèles de routeur.
Techniques d'attaque sophistiquées
Le malware a pour objectif de masquer les origines et les destinations de la communication en relayant le trafic. Cela se fait entre une cible infectée et les serveurs de commande et de contrôle des attaquants. En effet, l'infrastructure de contrôle est exploitée par des pirates associés à Mustang Panda, un acteur de menace persistante opérant pour le gouvernement chinois.
Lors de l'enquête sur des attaques ciblées contre des entités européennes des affaires étrangères, les chercheurs ont découvert cet implant. La principale porte dérobée, nommée Horse Shell, permet l'exécution à distance de commandes et le transfert de fichiers. Elle facilite également l'échange de données entre deux appareils en utilisant le protocole SOCKS5.
L'objectif véritable de l'implant est la fonctionnalité SOCKS5. En établissant des connexions cryptées entre les appareils infectés les plus proches, il devient ardu de retracer l'origine ou la destination finale de l'infection. Ainsi, les attaquants peuvent masquer le véritable commandement et contrôle, chaque nœud de la chaîne n'ayant connaissance que des nœuds précédents et suivants.
Grâce à l'utilisation de plusieurs couches de nœuds, les pirates masquent l'origine et la destination du trafic. Cela rend la traçabilité difficile pour les défenseurs, compliquant ainsi leur tâche en matière de détection et de suivi. De plus, une chaîne de nœuds infectés rend difficile la perturbation de la communication entre l'attaquant et le C2. Cela est dû à la possibilité de faire transiter le trafic via d'autres nœuds en cas de compromission ou de désactivation d'un nœud.
Cette approche sophistiquée complique la détection et la réponse aux attaques, offrant aux attaquants une plus grande discrétion. Elle leur confère également une capacité accrue à maintenir un contrôle persistant sur les réseaux compromis.
Les acteurs malveillants utilisent le malware pour masquer les serveurs de contrôle
Les acteurs malveillants utilisent souvent des routeurs et appareils IoT pour dissimuler leurs serveurs de contrôle et trafic proxy. Par exemple, l'attaque VPNFilter a touché plus de 500 000 périphériques réseau, tandis que le malware ZuoRAT a ciblé différents routeurs. Lors de leurs recherches, les experts de Check Point ont découvert un implant malveillant appelé Horse Shell. Cet implant permet l'exécution à distance de commandes, le transfert de fichiers et l'échange de données via le protocole SOCKS5. Les méthodes d'infection restent inconnues, mais les attaquants exploitent probablement des vulnérabilités et des mots de passe faibles. Par conséquent, les utilisateurs de routeurs TP-Link sont invités à vérifier leur micrologiciel pour détecter toute infection potentielle.
La collaboration entre chercheurs en sécurité et fabricants est essentielle pour faire face à ces menaces. Elle permet de renforcer la sécurité des réseaux et de mieux faire face aux défis actuels. En restant vigilants et en maintenant leurs appareils à jour, les utilisateurs peuvent mieux se protéger contre les attaques. Cela est particulièrement important lorsqu'il s'agit de prévenir les attaques ciblant les routeurs et les dispositifs de l'Internet des objets. De plus, il est essentiel de continuer à déployer des efforts pour améliorer la détection, la prévention et la réponse aux attaques. Cela est nécessaire pour maintenir l'intégrité et la sécurité de nos infrastructures numériques en constante évolution. En travaillant ensemble, nous pouvons renforcer notre résilience face à ces défis croissants et protéger nos réseaux contre les activités malveillantes.
- Partager l'article :
