Un nouveau botnet baptisé AyySSHus vise les routeurs Asus. Plus de 9 000 appareils ont déjà été compromis. Grâce à une porte dérobée offrant un accès persistant, les pirates cherchent à mettre sur pied un immense nouveau botnet. On vous explique que faire en cas de cyberattaque sur votre routeur.
Les chercheurs en sécurité de GreyNoise ont repéré un nouveau botnet cherchant à passer sous le radar, AyySSHus. Le virus est parvenu à compromettre plus de 9 000 routeurs Asus. Dans le cadre d’une « campagne d’exploitation » toujours en cours, les pirates ont pu obtenir « un accès non autorisé et persistant » à des milliers d’appareils.
Selon le rapport de GreyNoise, tous ces appareils ont été compromis dans l’optique de mettre sur pied « un futur botnet », c’est-à-dire un réseau de routeurs zombies. On ignore à quoi servira ce futur botnet en pleine expansion. Néanmoins, un script malveillant a été téléchargé et exécuté sur un des appareils compromis. Ce script a été injecté dans le but de rediriger le trafic réseau vers des appareils que le pirate contrôle à distance.
À lire aussi : Un nouveau botnet prend d’assaut les appareils de vidéosurveillance avec des milliers d’adresses IP malveillantes
Un accès persistant aux routeurs compromis
Pour arriver à leurs fins, les cybercriminels s’appuient sur des attaques par force brute, qui consistent à tester une foule d’identifiants de connexion jusqu’à tomber sur le bon, et plusieurs anciennes vulnérabilités. Les pirates exploitent notamment une faille d’injection de commande (command injection) touchant plusieurs modèles de routeurs Asus, dont le RT-AX55. Cette vulnérabilité permet à un cybercriminel de forcer le routeur à exécuter des instructions qu’il n’est pas censé accepter.
Il peut dès lors y installer la porte dérobée qui lui offre un accès persistant à l’appareil. Même en cas de redémarrage ou de mise à jour du logiciel, le pirate conserve le contrôle du routeur. En effet, celle-ci est cachée dans la mémoire NVRAM (Non-Volatile Random Access Memory) du routeur, ce qui la protège des mises à jour du logiciel. L’attaquant « maintient un accès à long terme sans utiliser de logiciels malveillants ni laisser de traces évidentes ».
Aux dires des experts de GreyNoise, les attaques orchestrées par AyySSHus sont liées aux découvertes récentes des chercheurs de Sekoia. Les chercheurs français ont en effet identifié une vaste campagne visant notamment les routeurs Asus. Évoquée sous l’appellation « ViciousTrap », l’opération vise également les routeurs Asus et exploite la même faille de sécurité. Les pirates ciblent aussi d’autres appareils, comme des contrôleurs BMC (pour Baseboard Management Controller) de D-Link, Linksys, QNAP et Araknis Networks, ou des routeurs signés Soho.
À lire aussi : 1 million d’appareils Android ont été piratés par Badbox 2.0, un gigantesque botnet
Que faire en cas de piratage ?
Bonne nouvelle, Asus a corrigé la faille exploitée les hackers. Le fabricant a déployé un correctif sur tous les modèles ASUS RT-AX55 concernés. On recommande chaudement à tous les utilisateurs de mettre à jour leur routeur dans les plus brefs délais.
Vérifiez ensuite si le port TCP 53282 est ouvert. Ce port peut être utilisé pour une connexion SSH, qui permet de contrôler l’appareil à distance. Si vous n’avez jamais activé cette fonction, quelqu’un d’autre l’a peut-être fait sans votre accord. Jetez un œil dans le fichier authorized_keys, qui contient la liste des clés autorisées à se connecter en SSH. Si une clé inconnue apparaît dans ce fichier, cela signifie qu’un accès distant a été ajouté sans votre consentement.
Si vous soupçonnez votre routeur d’avoir été piraté, vous allez devoir passer par une réinitialisation aux paramètres d’usine. L’installation du correctif ne suffit pas à se débarrasser de la porte dérobée. Reconfigurez ensuite manuellement l’appareil. Enfin, GreyNoise conseille de bloquer les adresses IP liées au botnet, à savoir 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Greynoise