Posté le mars 28, 2020 à 11:18
DES HACKERS INCONNUS ATTAQUENT LE TRAFIC FTP ET LES E-MAILS D’ENTREPRISE
L’entreprise de sécurité chinoise Qihoo 360 a révélé aujourd’hui qu’un mystérieux groupe de hackers a espionné les emails et le réseau FTP à l’intérieur des réseaux d’entreprises. L’entreprise de sécurité affirme que le groupe de hackers utilise le routeur d’entreprise DrayTek zero-day pour continuer ses activités.
Selon un récent rapport publié par la section sécurité réseau de Qihoo, il y avait deux acteurs différents de la menace, chacun d’entre eux explorant une faiblesse différente du routeur DrayTek Vigor. Il s’agit des passerelles VPN et des routeurs à équilibrage de charge qui sont généralement déployés sur les réseaux d’entreprise.
Le premier groupe est plus sophistiqué
D’après le rapport, le premier groupe de hackers semble être plus dangereux et plus sophistiqué.
Qihoo a révélé qu’il a découvert le groupe le 4 décembre, après qu’ils aient exposé une attaque très sophistiquée sur les appareils DrayTek.
L’équipe de sécurité a souligné que le groupe avait caché un code malveillant dans la section de connexion du nom d’utilisateur des appareils DrayTek, qui exploitait la vulnérabilité du protocole de connexion crypté par la RSA.
Dès que le routeur DrayTek a reconnu et décrypté les données de connexion vulnérables cryptées par le RSA, le code malveillant a trouvé son chemin dans le système, ce qui donne au hacker un contrôle total sur le routeur affecté.
Les hackers se transforment en boîte à espions
La particularité de cette attaque est le fait que les hackers n’étaient pas intéressés par les méthodes d’attaque habituelles comme le détournement du réseau ou le lancement d’une attaque DDoS. Au lieu de cela, ils sont devenus une boîte espion.
Qihoo a souligné que les hackers ont installé un script qui a enregistré le trafic d’email IMAP (port 143), d’email POP3 (port 110), d’email SMTP (port 25) et des transferts de fichiers FTP (port 21).
Ensuite, le script télécharge tout le trafic déployé sur le serveur distant les lundi, mercredi et vendredi.
Les experts en sécurité n’ont pas compris pourquoi les hackers prenaient le trafic de courrier électronique et de FTP. Cependant, un des chercheurs en sécurité a révélé que les opérations des hackers ressemblent beaucoup à une activité de reconnaissance classique.
Il a déclaré : « Les quatre protocoles sont en texte clair. Il est évident qu’ils enregistrent le trafic pour collecter les identifiants de connexion des comptes FTP et de messagerie ».
Le chercheur, qui souhaitait rester anonyme, a déclaré que les justificatifs d’identité sont faciles à obtenir car ils circulent tous en clair sur le réseau.
Par ailleurs, d’autres agences de sécurité ont remarqué les campagnes du groupe de hackers. Mais le premier groupe de piratage ne partage pas d’échantillons de logiciels malveillants ou d’infrastructure de serveur avec d’autres groupes de hackers connus, c’est pourquoi les sociétés de sécurité le traitent comme un nouveau groupe.
Le deuxième groupe de hackers crée des comptes de porte dérobée
Bien que le second groupe semble être moins sophistiqué, il cause également des dommages en créant un compte de porte dérobée.
Le groupe a également abusé des dispositifs DrayTek, comme l’a découvert l’équipe de sécurité de Qihoo.
Le groupe de hackers utilise différents « zero-day », mais il n’a pas été découvert par eux. Il a plutôt été décrit par le blog de la Skull Army le 26 janvier, avant que les hackers ne commencent à exploiter la vulnérabilité deux jours plus tard.
Selon Qihoo, ce deuxième groupe a utilisé le deuxième code « zero-day » sur les appareils DrayTek sensibles et a exploité une vulnérabilité dans le « rtick » par le biais de comptes de porte dérobée. Mais on ne sait pas exactement ce que les hackers ont fait aux comptes.
Les mises à jour pour la vulnérabilité ont été émises le mois dernier
Qihoo a souligné que lorsque ses chercheurs ont informé DrayTek des jours zéro, ils n’ont pas reçu leur première alerte parce qu’elle avait été transmise par un mauvais canal.
Mais le vendeur a finalement reçu le deuxième massage et a publié des correctifs pour la vulnérabilité le 10 février. Le fournisseur a également publié des mises à jour pour un modèle de routeur abandonné.
Qihoo a souligné que les exploitations ont été observées sur presque toutes les versions de DrayTek Vigor, y compris les versions 300B, 3900, et 2960.
Actuellement, il y a plus de 900 000 appareils DrayTek Vigor en ligne, mais Qihoo affirme qu’environ 100 000 de ces appareils utilisent des versions de micrologiciels susceptibles d’être attaquées.
Les chercheurs ont souligné que ceux qui ont appliqué les correctifs sur leurs appareils ne sont plus vulnérables à une exploitation par le premier et le second groupe de hackers.
