Un malware infecte les routeurs depuis des années

Black Lotus Labs, une équipe de chercheurs de la société Lumen, a découvert une qui a affecté des centaines de routeurs en Amérique du Nord et en Europe pendant au moins deux ans. Le cheval de Troie, surnommé ZuoRAT, semble pouvoir accéder aux appareils connectés fonctionnant sous Windows, Linux ou macOS pour « charger et télécharger des fichiers, exécuter des commandes et persister sur le poste de travail », selon les chercheurs.

Le malware, quant à lui, semble fonctionner sur des routeurs de marques telles que Cisco, Netgear, Asus et DayTek. Il est également actif, depuis octobre 2020, en tirant parti du fait que de nombreux utilisateurs pratiquent le télétravail. Lumon décrit ZuoRAT comme « un fichier MIPS compilé pour les routeurs SOHO, capable d’énumérer un hôte et un réseau local interne, de capturer les paquets transmis par le dispositif infecté et de réaliser des attaques de type « personne au milieu » (détournement de DNS et de HTTPS en fonction de règles prédéfinies) ». Il passe également par différentes phases jusqu’à ce qu’il atteigne son objectif : contrôler les appareils connectés.

La première phase est le chargement du logiciel malveillant. Il est installé sur les appareils SOHO, couramment utilisés pour les postes de travail sur le lieu de travail ou pour établir des connexions dans les petites entreprises. ZuoRAT, en particulier, est installé en exploitant des vulnérabilités non adressées dans ce type de routeurs et permet l’exécution de la deuxième phase.

malware de routeur

Cela consiste à énumérer les dispositifs connectés et exécuter un détournement de DNS et HTTP, qui permettent de changer l’adresse de l’URL que l’utilisateur visite en une adresse qui redirige vers un site web malveillant ou, dans le cas du détournement HTTP, d’obtenir tous les cookies du reste des sites web. L’objectif est de faire en sorte que l’utilisateur télécharge à son insu un nouveau logiciel malveillant sur son ordinateur.

👉​A lire également  Google va mieux protéger vos mots de passe en les chiffrant sur votre appareil

ZuoRAT, en particulier, utilise trois malwares supplémentaires conçus spécifiquement pour différents appareils. Il s’agit de CBeacon (Windows) et GoBeacon (Linux ou macOS) et de Cobalt Strike, dont la mise en œuvre est plus large. Ceux-ci sont chargés de la dernière phase chargement et téléchargement de fichiers, exécution de commandes, etc, depuis le propre appareil de l’utilisateur.

C’est ainsi que vous pouvez empêcher votre routeur d’être infecté par le malware ZuoRAT

Lumen, quant à lui, commente que Les logiciels malveillants sont très sophistiqués et donc difficiles à détecter. « On ne saurait trop insister sur le fait que les acteurs se sont donné beaucoup de mal pour dissimuler l’infrastructure C2. Tout d’abord, pour éviter toute suspicion, ils ont livré l’exploit initial d’un serveur privé virtuel (VPS) dédié hébergeant du contenu bénin. Ensuite, ils ont utilisé des routeurs comme proxies C2, qui se cachaient à la vue de tous grâce à la communication de routeur à routeur, afin d’éviter toute détection. Et enfin, ils ont fait tourner les routeurs proxy périodiquement pour éviter la détection », indique la société.

Heureusement, il existe un moyen de supprimer ZuoRAT des routeurs. L’utilisateur n’a qu’à redémarrer l’appareil et, pour éviter que le logiciel malveillant ne soit rechargé à nouveau, réinitialiser les paramètres d’usine.