Un nouveau logiciel malveillant baptisé HiatusRAT infecte les routeurs pour espionner ses cibles, principalement en Europe et aux États-Unis.
Les routeurs peuvent être utilisés par les hackers et pirates comme des lieux efficaces pour implanter des logiciels malveillants, souvent à des fins de cyber espionnage. Les routeurs sont souvent moins bien protégés que les appareils standard et utilisent souvent des versions modifiées des systèmes d’exploitation existants. Il peut donc être intéressant pour les attaquants de cibler les routeurs, mais il est plus difficile de les compromettre et de les utiliser qu’un point de terminaison ou un serveur habituel.
Le Black Lotus Labs de Lumen a mis au jour un nouveau logiciel malveillant ciblant les routeurs dans le cadre d’une campagne baptisée Hiatus par les chercheurs.
Qu’est-ce que la campagne de logiciels malveillants Hiatus ?
La campagne Hiatus vise principalement les routeurs Vigor de DrayTek, modèles 2960 et 3900, qui utilisent une architecture i386. Ces routeurs sont principalement utilisés par des entreprises de taille moyenne, car ils peuvent prendre en charge les connexions VPN de quelques centaines d’employés.
Les chercheurs ont également trouvé d’autres binaires malveillants ciblant les architectures MIPS et ARM.
Le vecteur de compromission initial reste inconnu, mais une fois que les attaquants ont accès aux routeurs ciblés, ils déposent un script bash. Lorsque ce script bash est exécuté, il télécharge deux fichiers supplémentaires : le logiciel malveillant HiatusRAT et une variante de l’outil légitime tcpdump, qui permet de capturer des paquets réseau.
- Bash est l’un des outils de scripting les plus populaires disponibles sous Unix. C’est l’acronyme de Bourne Again Shell. C’est un outil puissant pour tout utilisateur de Linux ou administrateur système
Une fois ces fichiers exécutés, les attaquants contrôlent le routeur et peuvent télécharger des fichiers ou exécuter des commandes arbitraires, intercepter le trafic réseau de l’appareil infecté ou utiliser le routeur comme un proxy SOCKS5, qui peut être utilisé pour d’autres compromissions ou pour cibler d’autres entreprises.
Le logiciel malveillant HiatusRAT
Lorsque le RAT est lancé, il vérifie si le port 8816 est utilisé. Si le port est utilisé par un processus, il le tue et ouvre une nouvelle session d’écoute sur le port, afin de s’assurer qu’une seule instance du logiciel malveillant s’exécute sur l’appareil.
Il recueille ensuite des informations sur l’appareil compromis, telles que des informations sur le système (version du noyau, adresse MAC, type d’architecture et version du microprogramme), sur le réseau (configuration des interfaces réseau et adresses IP locales) et sur le système de fichiers (points de montage, liste des répertoires, type de système de fichiers et système de fichiers à mémoire virtuelle). En outre, il recueille une liste de tous les processus en cours.
Après avoir collecté toutes ces informations, le logiciel malveillant les envoie à un serveur heartbeat C2 contrôlé par l’attaquant.
Le logiciel malveillant dispose d’autres capacités, telles que la mise à jour de son fichier de configuration, la fourniture à l’attaquant d’un shell distant, la lecture/suppression/chargement de fichiers, le téléchargement et l’exécution de fichiers, ou l’activation du transfert de paquets SOCKS5 ou du transfert de paquets TCP ordinaires.
Capture de paquets réseau
Outre le HiatusRAT, l’acteur de la menace déploie également une variante de l’outil légitime tcpdump, qui permet de capturer des paquets réseau sur l’appareil compromis.
Le script bash utilisé par l’acteur de la menace montre un intérêt particulier pour les connexions sur les ports 21, 25, 110 et 143, qui sont généralement dédiés au protocole de transfert de fichiers et aux transferts de courrier électronique (protocoles de courrier électronique SMTP, POP3 et IMAP).
Le script permet de renifler davantage de ports, si nécessaire. S’il est utilisé, les paquets capturés sont envoyés à un C2 d’upload, différent du C2 de heartbeat, une fois que l’interception des paquets atteint une certaine longueur.
Cela permet à l’acteur de la menace d’intercepter passivement des fichiers complets transférés via le protocole FTP ou des courriels qui traversent l’appareil infecté.
Ciblage de la campagne
Black Lotus Labs a identifié environ 100 adresses IP uniques communiquant avec les serveurs C2 contrôlés par l’acteur de la menace depuis juillet 2022, qui peuvent être classées en deux catégories :
Des entreprises de taille moyenne exploitant leurs propres serveurs de messagerie, possédant parfois des plages d’adresses IP sur internet permettant de les identifier. Des entreprises pharmaceutiques, des sociétés de services informatiques ou de conseil, ainsi qu’une administration municipale, entre autres, ont pu être identifiées. Les chercheurs soupçonnent que le ciblage des entreprises informatiques est un choix visant à permettre l’accès en aval aux environnements des clients.
Plages d’adresses IP des clients des fournisseurs d’accès à l’internet utilisées par les cibles.
La répartition géographique des cibles montre un intérêt marqué pour les entreprises du Royaume-Uni et de certains autres pays européens, en plus de l’Amérique du Nord (figure A).
Figure A
Laboratoire Black Lotus de Lumen. Carte thermique des infections liées à la campagne de logiciels malveillants Hiatus.
Selon les chercheurs, environ 2 700 routeurs DrayTek Vigor 2960 et 1 400 routeurs DrayTek Vigor 3900 sont connectés à Internet. L’infection d’une centaine de ces routeurs seulement rend la campagne limitée et difficile à détecter ; le fait que seuls 100 routeurs sur des milliers soient touchés souligne la possibilité que l’acteur de la menace ne vise que des cibles particulières et ne s’intéresse pas à un ciblage plus large.
4 étapes pour se protéger de la menace du logiciel malveillant Hiatus
1. Redémarrez régulièrement les routeurs et veillez à ce que leur micrologiciel et leur logiciel soient corrigés afin d’éviter toute compromission due à des vulnérabilités courantes.
2. Déployer des solutions de sécurité capables d’enregistrer et de surveiller le comportement des routeurs.
3. Les appareils en fin de vie doivent être retirés et remplacés par des modèles compatibles qui peuvent être mis à jour pour une sécurité maximale.
4. Tout le trafic passant par les routeurs doit être crypté de manière à ce que même son interception ne le rende pas exploitable.
https://www.techrepublic.com/article/hiatus-malware-campaign-targets-routers/
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-013.pdf
https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims/
