Les chercheurs ont dévoilé mardi une découverte majeure : un micrologiciel malveillant qui peut intégrer une large gamme de routeurs résidentiels et de petites entreprises dans un réseau qui relaie furtivement le trafic vers des serveurs de commande et de contrôle maintenus par des pirates informatiques parrainés par l’État chinois.
Un implant de micrologiciel, révélé dans un article de Check Point Research, contient une porte dérobée complète qui permet aux attaquants d’établir des communications et des transferts de fichiers avec des appareils infectés, d’émettre des commandes à distance et de télécharger, télécharger et supprimer des fichiers. L’implant se présentait sous la forme d’images de firmware pour les routeurs TP-Link. Cependant, le code C++ bien écrit s’est efforcé d’implémenter ses fonctionnalités d’une manière « indépendante du micrologiciel », ce qui signifie qu’il serait trivial de le modifier pour qu’il s’exécute sur d’autres modèles de routeur.
Pas la fin, juste les moyens
L’objectif principal du logiciel malveillant semble être de relayer le trafic entre une cible infectée et les serveurs de commande et de contrôle des attaquants d’une manière qui masque les origines et les destinations de la communication. Après une analyse plus approfondie, Check Point Research a finalement découvert que l’infrastructure de contrôle était exploitée par des pirates liés à Mustang Panda, un acteur avancé de menace persistante qui, selon les sociétés de sécurité Avast et ESET, travaille pour le compte du gouvernement chinois.
« Tirant les leçons de l’histoire, les implants de routeur sont souvent installés sur des appareils arbitraires sans intérêt particulier, dans le but de créer une chaîne de nœuds entre les principales infections et le véritable commandement et contrôle », ont écrit les chercheurs de Check Point dans un article plus court. « En d’autres termes, infecter un routeur domestique ne signifie pas que le propriétaire a été spécifiquement ciblé, mais plutôt qu’il n’est qu’un moyen d’atteindre un objectif. »
Les chercheurs ont découvert l’implant alors qu’ils enquêtaient sur une série d’attaques ciblées contre des entités européennes des affaires étrangères. Le composant principal est une porte dérobée avec le nom interne Horse Shell. Les trois fonctions principales de Horse Shell sont :
- Un shell distant pour exécuter des commandes sur l’appareil infecté
- Transfert de fichiers pour télécharger et télécharger des fichiers vers et depuis l’appareil infecté
- L’échange de données entre deux appareils à l’aide de SOCKS5, un protocole de proxy pour les connexions TCP à une adresse IP arbitraire et fournissant un moyen de transmettre les paquets UDP.
La fonctionnalité SOCKS5 semble être le but ultime de l’implant. En créant une chaîne d’appareils infectés qui établissent des connexions cryptées avec seulement les deux nœuds les plus proches (un dans chaque direction), il est difficile pour quiconque tombe sur l’un d’eux d’apprendre l’origine ou la destination ultime ou le véritable objectif de l’infection. Comme l’ont écrit les chercheurs de Check Point :
L’implant peut relayer la communication entre deux nœuds. Ce faisant, les attaquants peuvent créer une chaîne de nœuds qui relayeront le trafic vers le serveur de commande et de contrôle. Ce faisant, les attaquants peuvent masquer la commande et le contrôle finaux, car chaque nœud de la chaîne ne dispose d’informations que sur les nœuds précédents et suivants, chaque nœud étant un appareil infecté. Seule une poignée de nœuds connaîtra l’identité de la commande et du contrôle finaux.
En utilisant plusieurs couches de nœuds pour tunneliser la communication, les pirates peuvent masquer l’origine et la destination du trafic, ce qui rend difficile pour les défenseurs de retracer le trafic jusqu’au C2. Cela rend plus difficile pour les défenseurs de détecter et de répondre à l’attaque.
De plus, une chaîne de nœuds infectés rend plus difficile pour les défenseurs de perturber la communication entre l’attaquant et le C2. Si un nœud de la chaîne est compromis ou désactivé, l’attaquant peut toujours maintenir la communication avec le C2 en acheminant le trafic via un autre nœud de la chaîne.