Possédez-vous un routeur Asus ? Si c’est le cas, il se peut que votre appareil ait été l’un des milliers à avoir été compromis. Dans un article de blog publié la semaine dernière, la société de sécurité GreyNoise a révélé que l’attaque avait été organisée par ce qu’elle considère comme « un adversaire disposant de ressources importantes et de grandes capacités ».
Pour obtenir l’accès initial, les attaquants ont utilisé des techniques de connexion par force brute et deux méthodes différentes pour contourner l’authentification. Ils ont également été en mesure d’exploiter certaines vulnérabilités pour lesquelles aucun numéro CVE officiel n’a encore été attribué. Une fois qu’ils ont accédé au routeur, ils ont pu exécuter des commandes système en exploitant une faille de sécurité connue identifiée comme CVE-2023-39780.
Bien qu’aucun logiciel malveillant n’ait été installé, les attaquants ont certainement laissé leur marque.
Plus de 9 000 routeurs Asus concernés
En utilisant les paramètres d’Asus, ils ont pu configurer l’accès SSH, un moyen sécurisé de se connecter à un appareil distant et de le contrôler. Ils ont également installé une porte dérobée pour revenir facilement au micrologiciel (firmware) du routeur sans se soucier de l’authentification. La backdoor était stockée dans une mémoire non volatile (NVRAM). Ce qui signifie qu’elle ne pouvait pas être supprimée en redémarrant le routeur ou en mettant à jour son firmware. Pour éviter de se faire prendre, les criminels ont même désactivé la journalisation, qui aurait permis d’enregistrer leur accès.
D’après les données du scanner Internet Censys, plus de 9 000 routeurs Asus sont concernés. Et ce nombre ne cesse d’augmenter. Cependant, GreyNoise a déclaré qu’au cours des trois derniers mois, il n’a reçu que 30 demandes d’accès aux routeurs concernés. Cela semble indiquer que la campagne progresse lentement et discrètement.
Si aucun logiciel malveillant n’est installé, quel est l’objectif de l’attaque ? « Il semble qu’il s’agisse d’une opération furtive visant à assembler un réseau distribué de dispositifs, ce qui pourrait permettre de jeter les bases d’un futur réseau zombies », a déclaré GreyNoise dans son message.
Qui se cache derrière cette attaque ?
« Les tactiques utilisées dans cette campagne – accès initial furtif, utilisation des fonctions intégrées du système pour la persistance et évitement minutieux de la détection – sont conformes à celles observées dans les opérations de long terme, dont celles des APT et des Operational Relay Box (ORB). Bien que GreyNoise n’ait fait aucune attribution, le niveau de savoir-faire suggère que l’attaquant dispose de ressources importantes. Et d’une grande capacité.
Les termes utilisés par GreyNoise, en particulier la référence aux APT, suggèrent qu’il s’agit d’attaquants travaillant pour le compte d’un gouvernement hostile. Bien que GreyNoise n’ait cité aucun adversaire en particulier, de telles attaques ont été attribuées à différents pays, notamment la Chine, la Russie, la Corée du Nord et l’Iran.
GreyNoise a découvert l’attaque le 18 mars grâce à son outil d’analyse Sift, alimenté par l’IA. L’entreprise a toutefois indiqué qu’elle avait attendu jusqu’à aujourd’hui pour la révéler publiquement, afin d’avoir le temps de consulter ses partenaires gouvernementaux et industriels.
Que faire si vous possédez un routeur Asus ?
Pour savoir si votre appareil a été compromis, connectez-vous au micrologiciel du routeur. Recherchez l’option « Activer SSH » dans les paramètres de service ou d’administration. Si votre routeur a été pris dans la campagne, les paramètres montreront que quelqu’un peut s’y connecter en utilisant SSH sur le port 53282 avec une clé publique SSH tronquée de : ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVfj4HlVMGV+YPsxMDrMlbdDZ….
Normalement, la mise à jour du micrologiciel devrait résoudre le problème. D’autant plus qu’Asus a corrigé la faille CVE-2023-39780 avec sa dernière mise à jour du micrologiciel.
- Si votre routeur n’a pas été infecté, veillez à mettre à jour le firmware dès que possible.
- Mais si votre routeur a déjà été compromis, la porte dérobée demeure même après une mise à jour.
Dans ce cas :
- Asus vous conseille de supprimer ou de désactiver l’entrée SSH.
- Vous devrez également bloquer les quatre adresses IP suivantes : 101.99.91.151, 101.99.94.173, 79.141.163.179 et 111.90.146.237.
- Enfin, vous pouvez réinitialiser votre routeur et le reconfigurer manuellement pour vous assurer qu’aucune trace de la porte dérobée ne subsiste.