Campagne d’attaque détectée contre un large panel de routeurs

Le 28 juin 2022, les chercheurs en sécurité de l’entreprise Black Lotus Labs de Lumen Technologies, ont publié le résultat d’une de leurs investigations : durant près de deux ans, un groupe de hackers doté d’un niveau technique encore inédit a infecté un large éventail de routeurs en Amérique du Nord et en Europe à l’aide d’un virus prenant le contrôle total des appareils visés fonctionnant sous Windows, macOS et Linux.

Jusqu'à présent, Black Lotus Labs déclare avoir identifié au moins 80 cibles, des routeurs fabriqués par Cisco, Netgear, Asus et DrayTek, infectées par le virus. Baptisé ZuoRAT, ce cheval de Troie permettant un accès à distance dans les systèmes ciblés fait partie d'une campagne de piratage plus large qui existe depuis au moins le quatrième trimestre 2020 et serait toujours en cours de réalisation.

Un niveau technique avancé

Ce logiciel malveillant a été conçu spécialement pour l'architecture MIPS et calibré afin de s’adapter à des routeurs pour des petites structures (Small Office Home Office - SOHO). ZuoRAT a la capacité de scanner tous les appareils connectés à un routeur infecté afin de collecter les consultations DNS ainsi que le trafic réseau que ceux-ci envoient et reçoivent, le tout sans être détecté.

Similaire au logiciel malveillant Mirai, ce logiciel a été utilisé pour mener des attaques par déni de service, paralysant certains services Internet pendant plusieurs jours. ZuoRAT s'installe notamment en exploitant des vulnérabilités non corrigées des appareils SOHO.

Une fois installé, ZuoRAT énumère les appareils connectés au routeur infecté. L'acteur de la menace peut ensuite mener un détournement de DNS ou de HTTP pour amener les appareils connectés à installer d'autres logiciels malveillants. Deux de ces logiciels malveillants, baptisés CBeacon et GoBeacon, sont également conçus sur mesure, le premier étant écrit en C++ pour Windows et le second en Go pour une compilation croisée sur les appareils Linux et macOS. Pour plus de souplesse, ZuoRAT peut également infecter des appareils à l’aide de l'outil de piratage Cobalt Strike.

Un acteur étatique ?

Selon les chercheurs de Black Lotus Labs : « Bien que la compromission de routeurs SOHO comme vecteur d'accès pour accéder à un réseau local adjacent ne soit pas une technique nouvelle, elle a rarement été signalée. […] De même, les rapports d'attaques de type "person-in-the-middle", comme le détournement de DNS ou de HTTP, sont encore plus rares et sont la marque d'une opération complexe et ciblée. L'utilisation de ces deux techniques démontre un haut niveau de sophistication de la part d’un acteur malveillant, ce qui indique que cette campagne a probablement été réalisée par une organisation parrainée par un État. »

Comme la plupart des logiciels malveillants de routeur, ZuoRAT ne peut pas survivre à un redémarrage. Le simple redémarrage d'un appareil infecté supprimera l'exploit ZuoRAT initial, composé de fichiers stockés dans un répertoire temporaire. Pour une remédiation complète, les appareils infectés doivent être réinitialisés en usine. Malheureusement, si les appareils connectés ont été infectés par les autres logiciels malveillants, ils ne peuvent pas être désinfectés aussi facilement.