Le botnet Cyclios Blinks est de retour avec une nouvelle variante !

Les routeurs ASUS sont devenus la cible d’un botnet naissant appelé Cyclops Blink, près d’un mois après qu’il a été révélé que le malware utilisait les parefeux WatchGuard comme tremplin pour accéder à distance aux réseaux violés.

Dans un nouveau rapport publié par Trend Micro, le botnet aurait « pour principal objectif de construire une infrastructure pour de nouvelles attaques sur des cibles de grandevaleur ». Le document note qu’aucun des hôtes infectés « n’appartient à des organisations critiques, ou à celles qui ont une valeur évidente sur l’espionnage économique, politique ou militaire ».

Quels sont les caractéristiques du Cyclops Blink ?

Les services de renseignement britannique et américain ont caractérisé Cyclops Blink comme un remplaçant à VPNFilter, un autre logiciel malveillant exploitant des périphériques réseau, principalement des routeurs de bureaux à domicile (SOHO) et des périphériques de stockage en réseau (NAS).

Cadenas verrouillé derrière un ordinateur

Ces deux logiciels malveillants ont été attribués à un acteur parrainé par l’État russe, connu sous le nom de Sandworm (alias Voodoo Bear). Ce groupe est lié à un certain nombre d’intrusions très médiatisées, notamment celle de 2015 et 2016 sur le réseau électrique ukrainien, l’attaque NotPetya de 2017 et l’attaque Olympic Destroyer de 2018 sur les Jeux olympiques d’hiver.

Ce malware écrit en langage C et affecte un certain nombre de modèles de routeurs ASUS. L’entreprise reconnait travailler sur une mise à jour pour remédier à toute exploitation potentielle.

Comment ce logiciel malveillant fonctionne-t-il ?

Pour crypter les communications avec ses serveurs de commande et de contrôle (C2), le Cyclops Blink utilise OpenSSL. Afin de persister et de survivre aux réinitialisations d’usine, il intègre des modules spécialisés capables de lire et d’écrire dans la mémoire flash des dispositifs.

Un deuxième module de reconnaissance sert de canal pour exfiltrer les informations du dispositif piraté vers le serveur C2, tandis qu’un composant de téléchargement de fichiers s’occupe de récupérer les charges utiles arbitraires, éventuellement via HTTPS.

Depuis 2019, le malware aurait impacté des appareils WatchGuard et des routeurs ASUS situés dans plusieurs pays.

Trend Micro a averti que la formation de « botnets éternels » serait possible à cause des appareils et routeurs IoT. Ces derniers sont devenus une surface d’attaque lucrative en raison de la rareté des correctifs et de l’absence de logiciels de sécurité.

Les chercheurs ont déclaré qu’une fois qu’un appareil IoT est infecté par le malware, l’attaquant aurait un accès internet sans restriction pour télécharger et déployer d’autres étapes de logiciels malveillants et faire ce qu’il veut (espionnage, reconnaissance…).

« Dans le cas de Cyclops Blink, nous avons vu des appareils qui ont été compromis pendant plus de 30mois d’affilé et qui étaient configurés comme des serveurs de commande et de contrôlestables pour d’autres bots. »

SOURCE : THE HACKERNEWS

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.