Connexion
Abonnez-vous

Sécurité des routeurs : le FBI démontre une nouvelle fois l’ampleur du problème

Retravaillons les bases

Sécurité des routeurs : le FBI démontre une nouvelle fois l’ampleur du problème

Dans un communiqué, le FBI présente le compte rendu d’une opération de nettoyage dans de nombreux routeurs utilisés pour perpétrer des attaques. Les résultats, en demi-teinte, illustrent la complexité d’une situation qui dure depuis longtemps : le manque de suivi dans la sécurité des routeurs.

Le 28 février à 15h28

Le 15 février, le FBI a annoncé les résultats d’une vaste opération menée contre un réseau qui comprenait « des centaines de routeurs » de type SOHO (Small office & Home office, petits bureaux et bureaux à domicile). Cette infection, de type botnet, était orchestrée – selon le FBI – par le GRU, la direction générale des renseignements de l'État-Major des Forces armées de la fédération de Russie. Le groupe a reçu plusieurs sobriquets avec le temps : APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear et Sednit.

La campagne sort toutefois de l’ordinaire : les pirates n’ont pas infecté directement les équipements visés, ils ont repris une infection précédente. En l’occurrence, ils se sont tournés vers des routeurs de la gamme EdgeRouter d’Ubiquiti, très présents dans les petites structures, déjà infectés par le malware Moobot. Ce dernier avait pu être installé à cause de configurations par défaut non modifiées, en particulier le mot de passe administrateur. Il s’agit pourtant d’une règle élémentaire de sécurité.

L’opération du FBI s’est faite conjointement avec des partenaires internationaux, sans préciser lesquels. On sait cependant que la fondation Shadowserver et le Threat Center de Microsoft ont joué un rôle. « Dans cette affaire, les services de renseignement russes se sont tournés vers des groupes criminels pour les aider à cibler les routeurs des particuliers et des entreprises, mais le ministère de la Justice a déjoué leur stratagème. Nous continuerons à perturber et à démanteler les outils cyber malveillants du gouvernement russe qui mettent en péril la sécurité des États-Unis et de nos alliés », s’est enorgueillie l’agence.

APT28 s'est glissé dans un botnet existant

Bien que le FBI l’affirme, on ne sait pas si APT28 a collaboré avec des cybercriminels ou a pris la main sur une infection existante pour ses propres besoins. Le résultat est cependant le même : les pirates ont récupéré le contrôle de plus d’un millier de routeurs en République tchèque, en Italie, en Lituanie, en Jordanie, au Monténégro, en Pologne, en Slovaquie, en Turquie, en Ukraine, dans les Émirats arabes unis et aux États-Unis.

Les acteurs visés sont prévisibles : organismes gouvernementaux, les services publics, l’aérospatiale, la défense, l’éducation, l’énergie, l’hôtellerie, l’industrie manufacturière, la production de pétrole et de gaz, la technologie ou encore les transports. Autant de domaines où, en France, on trouve la plupart des opérateurs d’importance vitale (OIV), bien que l’Hexagone n’ait a priori pas été visé.

Comme indiqué, les pirates ont récupéré le contrôle de routeurs de la marque Ubiquiti dont la configuration par défaut n’avait pas été modifiée. Infectés dans un premier temps par le malware Moobot par d’autres acteurs – présentés comme attirés par les gains financiers – le groupe APT28 les ont utilisés pour dérober des informations

« Des cybercriminels n'appartenant pas au GRU ont installé le logiciel malveillant Moobot sur des routeurs Ubiquiti Edge OS qui utilisaient encore des mots de passe d'administrateur par défaut connus du public. Les pirates du GRU ont ensuite utilisé le logiciel malveillant Moobot pour installer leurs propres scripts et fichiers personnalisés qui ont réorienté le réseau de zombies, le transformant en une plateforme mondiale de cyberespionnage », explique le FBI.

À partir du contrôle obtenu, le groupe a installé ses propres scripts. Deux grands types d’actions ont été menés. D’abord, la collecte d’informations d’identification et du trafic via des serveurs proxy. Ensuite, quand cela était pertinent, le détournement vers des pages de renvoi usurpées et des malwares post-exploitation.

Des recommandations pas toujours suivies

Le groupe APT28 n’en est clairement pas à son coup d’essai. Comme le rappelle Ars Technica, ils ont utilisé l’année dernière des scripts Python pour voler des identifiants pour des comptes email. En 2022, ils ont largement exploité la faille CVE-2023-23397 dans Outlook. De type 0-day, elle leur a permis de récupérer des empreintes cryptographiques qui, à leur tour, ont permis l’accès aux comptes utilisateurs. Microsoft avait publié le correctif, mais l’exploitation a pu se poursuivre pendant un temps à cause du retard dans son application.

Bien que l’opération en elle-même ait été un succès, le FBI indique que tout n’est pas parfait. Les logiciels malveillants trouvés ont été effacés et des modifications de règles ont été mises en place sur les pare-feux. Ces dernières ont permis de bloquer les requêtes malveillantes et d'empêcher des réinfections, au moins temporairement.

Cependant, et en dépit de ses efforts, le FBI n’a pas réussi à faire changer l’ensemble des mots de passe administrateur par défaut ni à faire installer les derniers firmwares partout où cela était possible.

« Le ministère américain de la Justice, le FBI et des partenaires internationaux ont récemment démantelé un réseau de zombies du GRU composé de routeurs de ce type. Toutefois, les propriétaires des appareils concernés devraient prendre les mesures correctives décrites ci-dessous pour garantir le succès à long terme de l'effort de perturbation et pour identifier et remédier à toute compromission similaire », explique ainsi le FBI.

Les mesures sont au nombre de quatre :

    • Effectuer une réinitialisation matérielle d'usine pour supprimer tous les fichiers malveillants

    • Passer à la dernière version du firmware

    • Modifier le nom d'utilisateur et le mot de passe par défaut

    • Créer des règles de pare-feu pour restreindre l'accès extérieur aux services de gestion à distance

Ce sont des règles évidentes de sécurité pour ce type de matériel. On peut espérer que les communications publiques sur ce type de campagne attireront l’attention et feront réagir les structures concernées. Toutefois, puisque nous sommes en 2024 et que de telles opérations sont encore nécessaires, rien n’est moins sûr.

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
A mon avis, la seule raison qui fait qu'on ne parle pas de la France dans cette affaire, c'est que peu de Français utilisent ce genre de matériel vu que les opérateurs fournissent leurs box, et qu'en pratique il n'est pas si facile de les remplacer par du matériel tiers. Le petit nombre qui le fait quand même est à priori bien au courant des problèmes de sécurité que celà implique et des actions à effectuer pour s'en prémunir.
votre avatar
freebox => fortigate 100D :)
votre avatar
Je ne dis pas que c'est impossible. Je n'utilise moi même pas du tout la Livebox, que j'ai remplacée au début par du matériel Ubiquiti (en désactivant le compte par défaut avant même de l'avoir connecté au net) puis par un CCR2004 de Mikrotik.

C'est juste qu'en France c'est l'exception, pas la règle. Dans de nombreux autres pays il n'y a pas de box du tout et le client est libre de choisir son matériel.
votre avatar
on est d'accord.

perso pour mme Michu je trouve le modèle français quand même pas mal. ça permet de decharger la partie mco du routeur sur l'opérateur.
votre avatar
D'accord avec toi.
Il reste juste à espérer que les box en question sont suivies de près par les opérateurs...
votre avatar
Ouf, la LiveBox d'Orange est une Sagem. :)
votre avatar
Je confirme. J'ai eu moi même le edgerouter cité (avant un UDM pro ), en remplacement de la livebox à l'époque car Orange fournissait encore l'ONT. C'était galère à paramétrer avec un ensemble de tricks bien pénible.

Depuis j'ai cherché auprès des 4 grands opérateurs. L'ensemble fournis maintenant une box avec le port SFP intégré dans la box ( pas d'ONT) donc impossible de se passer de leur box maintenant.

Je suis passé chez OVH qui fourni encore un ONT et qui fonctionne très bien avec n'importe quel routeur.
J'ai maintenant une IP fixe avec un solide routeur pour m'auto-héberger
votre avatar
freebox revolution j'ai un SFP :) tiens ça me fait penser qu'il faudrait que je test de brancher direct le sftp sur le fortigate ! (vu que la mac est sur le sfp ça devrait marcher faut que je regarde)
votre avatar
Avoir un connecteur sfp ne signe pas que tu peux le brancher dans n'importe quelle emplacement sfp. Le connecteur est standard. Le protocole de communication non.
votre avatar
je sais , mais j'ai vu pas mal de gens le faire avec un simple transceiver. dans tous les cas suffit de test pour être fixer :)
votre avatar
Vu le prix des transceiver et les engagements d'un an en cas de nouvelle abonnement, tu me pardonneras de ne pas avoir voulu m'embéter :)
votre avatar
oula absolument :)

je dis juste qu'il faudrait que je test voir si je peux virer la freebox (et donc grapiller quelques Wh ^^)
votre avatar
Merci Vincent.
Très intéressant.
votre avatar
À une époque le password wifi des livebox était le même sur toutes et donc il y avait eu une super grosse faille ou un virus changeait les dns des livebox depuis les pc connectés (admin /admin sur les livebox 3)
Depuis c’est les pass de clés de réseau wifi
votre avatar
Le mdp d'administration de la box est la clé wifi que n'importe quel script sur windows peut dumper avec netsh.exe wlan show profiles name="MONSSID" key=clear ? Ah ben non c'est pas du tout sécurisé alors !
votre avatar
C’est une partie du mot de passe wifi de la box.
Orange fait ça, sfr il y a moyen aussi, Bouygues je ne sais pas.
C’est déjà mieux que admin/admin.

Sécurité des routeurs : le FBI démontre une nouvelle fois l’ampleur du problème

  • APT28 s'est glissé dans un botnet existant

  • Des recommandations pas toujours suivies

Fermer