Home » Blog » La nouvelle campagne de malware Hiatus cible les routeurs

La nouvelle campagne de malware Hiatus cible les routeurs

A padlock on a router.


Un nouveau malware baptisé HiatusRAT infecte les routeurs pour espionner ses cibles, principalement en Europe et aux États-Unis. Découvrez quels modèles de routeurs sont principalement ciblés et comment se protéger de cette menace de sécurité.

Image : xiaoliangge/Adobe Stock

Comme indiqué précédemment, les routeurs peuvent être utilisés par les acteurs de la menace comme des emplacements efficaces pour implanter des logiciels malveillants, souvent pour cyberespionnage. Les routeurs sont souvent moins protégés que les appareils standard et utilisent souvent des versions modifiées des systèmes d’exploitation existants. Par conséquent, le ciblage des routeurs peut être intéressant pour les attaquants mais plus difficile à compromettre et à utiliser qu’un terminal ou un serveur habituel.

Black Lotus Labs de Lumen a exposé nouveau malware ciblant les routeurs dans une campagne nommée Hiatus par les chercheurs.

Sauter à:

Qu’est-ce que la campagne de malware Hiatus ?

La campagne Hiatus cible principalement les modèles de routeur DrayTek Vigor 2960 et 3900, qui exécutent une architecture i386. Ces routeurs sont principalement utilisés par les entreprises de taille moyenne, car les capacités du routeur prennent en charge les connexions VPN de quelques centaines d’employés.

Les chercheurs ont également trouvé d’autres binaires malveillants ciblant les architectures basées sur MIPS et ARM.

Le vecteur de compromis initial reste inconnu, mais une fois que les attaquants ont accès aux routeurs ciblés, ils déposent un script bash. Lorsque ce script bash est exécuté, il télécharge deux fichiers supplémentaires : le logiciel malveillant HiatusRAT et une variante de l’outil légitime tcpdump, qui permet la capture de paquets réseau.

Une fois ces fichiers exécutés, les attaquants contrôlent le routeur et peuvent télécharger des fichiers ou exécuter des commandes arbitraires, intercepter le trafic réseau de l’appareil infecté ou utiliser le routeur comme un CHAUSSETTES5 périphérique proxy, qui peut être utilisé pour d’autres compromis ou pour cibler d’autres entreprises.

Logiciel malveillant HiatusRAT

Lorsque le RAT est lancé, il vérifie si le port 8816 est utilisé. Si le port est utilisé par un processus, il le tue et ouvre un nouvel écouteur sur le port, garantissant qu’une seule instance du logiciel malveillant est en cours d’exécution sur l’appareil.

Il collecte ensuite des informations sur le périphérique compromis, telles que des informations système (telles que la version du noyau, l’adresse MAC, le type d’architecture et la version du micrologiciel), des informations sur le réseau (configuration des interfaces réseau et adresses IP locales) et des informations sur le système de fichiers (points de montage, liste de répertoires, type de système de fichiers et système de fichiers de mémoire virtuelle). De plus, il collecte une liste de tous les processus en cours d’exécution.

Après avoir collecté toutes ces informations, le logiciel malveillant les envoie à un serveur Heartbeat C2 contrôlé par l’attaquant.

Le logiciel malveillant a plus de fonctionnalités, telles que la mise à jour de son fichier de configuration, la fourniture à l’attaquant d’un shell distant, la lecture/suppression/téléchargement de fichiers, le téléchargement et l’exécution de fichiers, ou l’activation du transfert de paquets SOCKS5 ou du transfert de paquets TCP simples.

Capture de paquets réseau

Outre le HiatusRAT, l’auteur de la menace déploie également une variante de l’outil légitime tcpdump, qui permet de capturer des paquets réseau sur l’appareil compromis.

Le script bash utilisé par l’acteur de la menace a montré un intérêt particulier pour les connexions sur les ports 21, 25, 110 et 143, qui sont généralement dédiés au protocole de transfert de fichiers et aux transferts de courrier électronique (protocoles de messagerie SMTP, POP3 et IMAP).

Le script permet plus de reniflage de port, si nécessaire. S’il est utilisé, les paquets capturés sont envoyés à un téléchargement C2, différent du heartbeat C2, après que l’interception de paquets ait atteint une certaine longueur.

Cela permet à l’auteur de la menace d’intercepter passivement des fichiers complets transférés via le protocole FTP ou des e-mails qui traversent l’appareil infecté.

Ciblage de la campagne

Black Lotus Labs a identifié environ 100 adresses IP uniques communiquant avec les serveurs C2 contrôlés par l’auteur de la menace depuis juillet 2022, qui pourraient être classées en deux catégories :

  • Entreprises de taille moyenne exploitant leurs propres serveurs de messagerie, possédant parfois des plages d’adresses IP sur Internet capables de les identifier. Des entreprises pharmaceutiques, des services informatiques ou des sociétés de conseil, et une administration municipale, entre autres, pourraient être identifiées. Les chercheurs soupçonnent que le ciblage des entreprises informatiques est un choix pour permettre l’accès en aval aux environnements des clients.
  • Plages d’adresses IP des clients des fournisseurs de services Internet utilisées par les cibles.

La répartition géographique des cibles montre un fort intérêt pour les entreprises britanniques et certains autres pays européens, en plus de l’Amérique du Nord (Figure A).

Figure A

Carte de chaleur pour les infections des campagnes de logiciels malveillants Hiatus.
Image : Laboratoires du Lotus noir de Lumen. Carte de chaleur pour les infections des campagnes de logiciels malveillants Hiatus.

Comme l’ont rapporté les chercheurs, environ 2 700 routeurs DrayTek Vigor 2960 et 1 400 routeurs DrayTek Vigor 3900 sont connectés à Internet. L’infection d’environ 100 seulement de ces routeurs rend la campagne petite et difficile à détecter ; le fait que seuls 100 routeurs sur des milliers soient touchés souligne la possibilité que l’auteur de la menace ne vise que des cibles particulières et ne soit pas intéressé par un ciblage plus large.

4 étapes pour se protéger de la menace de malware Hiatus

1. Redémarrez régulièrement les routeurs et maintenez leurs micrologiciels et logiciels corrigés pour éviter les compromis des vulnérabilités courantes.

2. Déployez des solutions de sécurité avec des capacités pour enregistrer et surveiller le comportement des routeurs.

3. Les appareils en fin de vie doivent être retirés et remplacés par des modèles pris en charge qui peuvent être mis à jour pour une sécurité maximale.

4. Tout le trafic passant par les routeurs doit être crypté afin que même son interception ne le rende pas exploitable.

Lire ensuite : Politique de détection des intrusions (TechRepublic Premium)

Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *