Cela fait deux ans qu’un logiciel malveillant complexe infecte les routeurs des fabricants les plus connus. Les pirates peuvent alors prendre le contrôle des ordinateurs connectés.
Les routeurs d’Asus, Cisco, DrayTek et Netgear ont été attaqués par des logiciels malveillants complexes depuis le dernier semestre 2020. Cette découverte vient de chercheurs en sécurité de Black Lotus Labs par Lumen Technologies. Le malware en question s’appelle ZuoRAT et est fort probablement l’œuvre de pirates affiliés à un État-nation.
ZuoRAT se caractérise par le fait que le malware est écrit dans l’architecture MIPS et vise donc spécifiquement les routeurs. En outre, les fabricants visent les routeurs des particuliers et des PME.
Nouvelles infections
ZuoRAT peut causer de gros dégâts sur le routeur lui-même. Le logiciel malveillant observe et écoute le trafic réseau et est capable de lancer des attaques de type « man-in-the-middle ». Cela signifie que les utilisateurs non avertis sont redirigés en arrière-plan en visitant un site web. Mais c’est là que l’attaque commence.
Comme ZuoRAT peut détourner le trafic des appareils connectés, le malware est capable de tromper les PC et les MacBook connectés pour qu’ils installent à leur tour un nouveau malware. Il y a deux maliciels impliqués : CBeacon développé pour infecter les PC Windows, et GoBeacon qui affecte les appareils Linux et macOS. ZuoRAT peut aussi susciter Cobalt Strike sur ses victimes.
Mécanisme de contrôle complexe
Selon Black Lotus Labs, l’architecture de commande et de contrôle de ZuoRAT est intentionnellement complexe. La campagne de maliciels utilise deux mécanismes de contrôle : un pour le maliciel du routeur lui-même, et un pour le nouveau maliciel ciblant les PC connectés. L’infrastructure elle-même est répartie sur plusieurs sites web.
La campagne de logiciels malveillants est toujours en cours. Black Lotus Labs a déjà découvert au moins 80 cibles infectées. Les logiciels malveillants pour routeurs tels que ZuoRAT ont heureusement une faiblesse : le virus ne survit pas au redémarrage de votre routeur. Mais un redémarrage ne suffit pas à empêcher les pirates d’injecter à nouveau le malware. Si les PC en aval sont déjà infectés, la tâche n’est pas terminée.
Mise à jour
Les routeurs sont souvent des appareils oubliés qui, malgré leur fonction critique, ne sont pas mis à jour rapidement. C’est particulièrement vrai pour les PME ou les utilisateurs à domicile. Se connecter de temps en temps pour installer les mises à jour est une bonne idée, comme le montre ce malware. Le redémarrage occasionnel augmente aussi un peu votre niveau de sécurité.