Support technique
Documentation
Connexion
Nous contacter
Un logiciel malveillant Linux infecte 70 000 routeurs
Obanla Opeyemi
Le 31 juillet 2023 - L'équipe d'experts de TuxCare
Selon un rapport de l'équipe de recherche sur les menaces Black Lotus Labs de Lumen, un logiciel malveillant Linux furtif appelé AVrecon a été utilisé pour infecter plus de 70 000 routeurs SOHO (small office/home office) basés sur Linux.
Ce logiciel malveillant, repéré pour la première fois en mai 2021, est conçu pour voler de la bande passante et fournir un service de proxy résidentiel caché. Cela permet à ses opérateurs de dissimuler un large éventail d'activités malveillantes, allant de la fraude à la publicité numérique à la pulvérisation de mots de passe.
Le logiciel malveillant a largement réussi à échapper à la détection depuis qu'il a été repéré pour la première fois. Cela s'explique par le fait qu'il cible les routeurs SOHO qui ne sont souvent pas protégés contre les vulnérabilités courantes. En outre, le logiciel malveillant est très furtif et les propriétaires de machines infectées remarquent rarement une interruption de service ou une perte de bande passante.
Une fois infecté, le logiciel malveillant envoie les informations relatives au routeur compromis à un serveur de commande et de contrôle (C2) intégré. Une fois le contact établi, la machine piratée reçoit l'instruction d'établir une communication avec un groupe de serveurs indépendants, connus sous le nom de serveurs C2 de deuxième niveau.
Les chercheurs en sécurité ont trouvé 15 serveurs de contrôle de deuxième niveau, qui sont opérationnels depuis au moins octobre 2021.
L'équipe de sécurité Black Lotus de Lumen s'est également attaquée à la menace AVrecon en mettant en place un routage nul du serveur de commande et de contrôle (C2) du réseau de zombies à travers leur réseau dorsal. Cela a permis de couper la connexion entre le botnet malveillant et son serveur de contrôle central, ce qui a considérablement réduit sa capacité à exécuter des activités nuisibles.
La gravité de cette menace tient au fait que les routeurs SOHO se trouvent généralement au-delà du périmètre de sécurité conventionnel, ce qui réduit considérablement la capacité des défenseurs à détecter les activités malveillantes.
Le groupe chinois de cyberespionnage Volt Typhoon a utilisé une tactique similaire pour construire un réseau proxy secret à partir d'équipements de réseau SOHO ASUS, Cisco, D-Link, Netgear, FatPipe et Zyxel piratés, afin de dissimuler ses activités malveillantes dans le trafic réseau légitime.
"Les acteurs de la menace utilisent AVrecon pour acheminer le trafic par proxy et se livrer à des activités malveillantes telles que la pulvérisation de mots de passe", déclare Michelle Lee, directrice de la veille sur les menaces au sein de Lumen Black Lotus Labs. "Cela diffère du ciblage direct du réseau que nous avons observé avec nos autres découvertes de logiciels malveillants basés sur des routeurs.
"Les défenseurs doivent être conscients que ces activités malveillantes peuvent provenir de ce qui semble être une adresse IP résidentielle dans un pays autre que l'origine réelle, et que le trafic provenant d'adresses IP compromises contournera les règles de pare-feu telles que le geofencing et le blocage basé sur l'ASN".
Les sources de cet article comprennent un article de BleepingComputer.
