Posté le juillet 14, 2023 à 7:55
LE LOGICIEL MALVEILLANT LINUX AVRECON UTILISÉ POUR MENER DES CAMPAGNES CONTRE 70 000 ROUTEURS LINUX SOHO
AVrecon, un logiciel malveillant Linux utilisé pour voler des informations sur les appareils ciblés, a été utilisé pour mener une campagne de piratage contre plus de 70 000 routeurs Linux. Ces routeurs ont été ciblés et ajoutés à un réseau de zombies qui a ensuite été utilisé pour voler de la bande passante et créer un service proxy résidentiel caché qui échappe à la détection des systèmes de cybersécurité.
Le logiciel malveillant AVrecon utilisé pour infecter 70 000 routeurs Linux
Des hackers ont exploité des vulnérabilités au sein de systèmes basés sur Linux pour mener leurs exploits de piratage. La campagne récemment détectée aurait débuté en mai 2021, les hackers qui en sont à l’origine utilisant des techniques furtives pour dissimuler diverses activités malveillantes telles que la fraude à la publicité numérique et la pulvérisation de mots de passe, entre autres.
La campagne a été détectée par le groupe de cybersécurité Black Lotus Labs de Lumen, qui a déclaré que le cheval de Troie d’accès à distance (RAT) AVrecon a été observé pour compromettre plus de 70 000 appareils. Seuls 40 000 des appareils affectés ont été inclus dans le botnet après que les hackers ont lancé des attaques persistantes.
Le logiciel malveillant en question a réussi à éviter la détection, puisqu’il a été initialement détecté en mai 2021. À l’époque, le logiciel malveillant était utilisé pour cibler les routeurs Netgear. Le logiciel malveillant est resté non détecté pendant plus de deux ans, et il a commencé à acquérir de nouveaux bots. Il s’est depuis développé pour devenir l’un des plus grands botnets ciblant les routeurs des petites entreprises et des particuliers à domicile.
L’équipe de recherche en cybersécurité qui a détecté cette menace a déclaré que le hacker à l’origine de l’attaque s’est largement concentré sur le type d’appareils SOHO que les utilisateurs n’étaient pas susceptibles de mettre à niveau malgré la publication de correctifs. Les correctifs de sécurité sont généralement publiés pour protéger les appareils contre les vulnérabilités et les risques courants.
Les chercheurs ajoutent que « au lieu d’utiliser ce réseau de zombies pour gagner rapidement de l’argent, les opérateurs ont adopté une approche plus modérée et ont pu opérer sans être détectés pendant plus de deux ans. En raison de la nature furtive du logiciel malveillant, les propriétaires des machines infectées remarquent rarement une interruption de service ou une perte de bande passante. »
Une fois que le logiciel malveillant a réussi à infecter un appareil, il envoie les informations du routeur compromis à un serveur de commande et de contrôle (C2). Après avoir établi le contact, l’appareil ciblé reçoit l’instruction d’établir une communication avec d’autres serveurs.
Selon l’équipe de lutte contre les menaces Black Lotus de Lumen, 15 serveurs de contrôle de deuxième niveau existaient déjà. Ces serveurs sont opérationnels depuis 2021. Cela indique que l’ampleur des dégâts causés par les attaquants pourrait être considérable.
Les chercheurs font face à la menace
L’équipe de sécurité a déclaré qu’elle avait répondu à la menace posée par le logiciel malveillant AVrecon par un routage nul du serveur C2 de ce réseau de zombies à travers le réseau dorsal. Ce processus a coupé la connexion entre le botnet malveillant et le serveur de contrôle central, ce qui a affecté la capacité du logiciel malveillant à causer des dommages importants.
Les chercheurs ont noté qu’ils avaient mis en place un routage nul des nœuds C2 et entravé le trafic utilisant les serveurs proxy. Cela a permis au botnet de ne pas se propager dans l’écosystème Lumen.
Le mois dernier, la CISA a publié une directive opérationnelle contraignante (BOD) ordonnant aux agences fédérales Américaines de sécuriser les équipements de réseau exposés à l’internet. Ces équipements comprenaient les routeurs SOHO. L’équipement devait être sécurisé dans les deux semaines suivant la découverte de la menace afin de réduire le risque de violation.
Une fois que ces dispositifs ont été compromis avec succès, ils permettent aux hackers d’ajouter les routeurs compromis à l’infrastructure d’attaque et leur offrent une rampe de lancement qui favorise les mouvements latéraux au sein des réseaux internes.
La gravité de la menace posée par le logiciel malveillant vient du fait que les routeurs SOHO existent en dehors des cadres d’un périmètre de sécurité conventionnel. Ainsi, la capacité d’un système de sécurité à détecter toute activité malveillante sera affectée.
Ces techniques sont de plus en plus utilisées par les groupes de hackers. Volt Typhoon, un groupe de hackers Chinois, a utilisé cette technique pour cibler plusieurs équipements réseau tout en dissimulant leur activité malveillante au sein du trafic réseau légitime. Selon des chercheurs et des agences gouvernementales, l’activité a été détectée en mai.
Les hackers parrainés par la Chine à l’origine de l’attaque ont utilisé cette technique pour lancer des campagnes contre des organisations d’infrastructures critiques aux États-Unis depuis le milieu de l’année 2021 environ. Cependant, selon les chercheurs de Lumen Black Lotus Labs, les attaques étaient différentes du ciblage direct du réseau qui a été observé avec d’autres logiciels malveillants basés sur des routeurs.
Les chercheurs ont exhorté les défenseurs à être attentifs aux activités malveillantes liées à cette campagne en raison des techniques utilisées par les hackers pour dissimuler leur activité. Ils ont noté que le trafic généré à partir des adresses IP ciblées serait utilisé pour contourner les pare-feu et envahir l’appareil ciblé sans être détecté.
