Des pirates notoires parrainés par l’État russe attaquent les routeurs Wi-Fi domestiques d’Asus, a déclaré la société antivirus japonaise Trend Micro hier (17 mars).
Le botnet malveillant Cyclops Blink, repéré pour la première fois le mois dernier infectant les appliances de sécurité réseau Firebox pour petites entreprises fabriquées par WatchGuard, cible désormais plus d’une douzaine de routeurs Wi-Fi domestiques Asus, a déclaré Trend Micro. Des appareils infectés ont été détectés « aux États-Unis, en Inde, en Italie, au Canada » et même en Russie.
Pire encore, Trend Micro estime qu’Asus n’est peut-être pas la seule marque de routeur concernée.
« Nous avons des preuves que d’autres routeurs sont également affectés, mais … nous n’avons pas été en mesure de collecter des échantillons de logiciels malveillants Cyclops Blink pour des routeurs autres que WatchGuard et Asus », ont écrit les chercheurs Feike Hacquebord, Stephen Hilt et Fernando Merces. « Ce malware est de nature modulaire et il est probable que chaque fournisseur ait des modules et des architectures différents qui ont été bien pensés par les acteurs de Cyclops Blink. »
Le ver des sables a encore frappé
Cyclops Blink, parfois écrit CyclopsBlink, est fabriqué et contrôlé par le groupe Sandworm, qui serait dirigé par le renseignement militaire russe. Sandworm (une référence de Dune) est devenu célèbre lorsque le groupe a attaqué des centrales électriques ukrainiennes en 2014.
Le groupe Sandworm était également probablement responsable de la vague massive d’attaques de vers rançongiciels « Petya » (ou « NotPetya ») en juin 2017, qui ciblait initialement l’Ukraine mais s’est rapidement propagée à travers le monde. Il y a même un livre sur Sandworm.
Mais le véritable prédécesseur de Cyclops Blink est VPNFilter, un autre botnet basé sur un routeur créé par le groupe Sandworm qui ciblait les routeurs Asus, D-Link, Linksys, MikroTik, Netgear, TP-Link et Ubiquiti à l’été 2018. VPNFilter est toujours infecter les routeurs qui n’ont pas été corrigés avec un nouveau firmware.
Les chercheurs de Trend Micro pensent que les routeurs Asus ne sont pas les cibles ultimes des hackers Cyclops Blink. Au lieu de cela, les routeurs sont probablement préparés pour être utilisés comme outils dans des attaques plus importantes, éventuellement en conjonction avec la guerre russo-ukrainienne en cours.
« Nos données montrent également que bien que Cyclops Blink soit un botnet parrainé par l’État, son [command-and-control] les serveurs et les bots affectent les appareils WatchGuard Firebox et Asus qui n’appartiennent pas à des organisations critiques, ou ceux qui ont une valeur évidente sur l’espionnage économique, politique ou militaire », ont-ils écrit.
« Par conséquent, nous pensons qu’il est possible que l’objectif principal du botnet Cyclops Blink soit de construire une infrastructure pour de nouvelles attaques sur des cibles de grande valeur. »
Comment protéger votre routeur ASUS de Cyclops Blink
Comme avec VPNFilter, le malware du botnet Cyclops Blink survivra à un redémarrage. La seule façon de vraiment immuniser votre routeur ASUS vulnérable est de le réinitialiser en usine, puis de mettre à jour le micrologiciel du routeur vers une version sûre.
Assurez-vous de noter les noms et les mots de passe de vos réseaux sans fil domestiques avant de réinitialiser les paramètres d’usine. Ensuite, configurez à nouveau le routeur avec les mêmes informations réseau afin que tous vos appareils puissent se reconnecter facilement.
Voici la liste des routeurs ASUS concernés, avec des micrologiciels vulnérables.
Veuillez noter que les trois derniers appareils sont marqués comme « en fin de vie » (EOL) et ne recevront PAS de mises à jour du firmware pour se protéger contre Cyclops Blink. Si vous avez l’un de ces trois routeurs, il est temps de parcourir notre liste des meilleurs routeurs Wi-Fi et d’en acheter un nouveau.
- Micrologiciel GT-AC5300 sous 3.0.0.4.386.xxxx
- Micrologiciel GT-AC2900 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC5300 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC88U sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC3100 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC86U sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC68U, AC68R, AC68W, AC68P sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC66U_B1 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC3200 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC2900 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC1900P, RT-AC1900P sous 3.0.0.4.386.xxxx
- RT-AC87U (fin de vie)
- RT-AC66U (EOL) (également affecté par VPNFilter)
- RT-AC56U (fin de vie)
L’avis de sécurité d’ASUS indique que « Si vous avez déjà installé la dernière version du micrologiciel, veuillez ne pas tenir compte de cet avis. » Cependant, depuis que Trend Micro a trouvé des preuves que Cyclops Blink infecte discrètement les appareils « depuis au moins juin 2019 », cela ne ferait pas de mal de réinitialiser votre routeur en usine.
Voici les instructions d’ASUS, avec quelques éclaircissements de notre part :
- Réinitialisez le routeur à ses paramètres d’usine par défaut. Connectez-vous à l’interface graphique Web (http://router.asus.com), accédez à Administration > Paramètres de restauration/enregistrement/téléchargement, cliquez sur « Initialiser tous les paramètres et effacer tous les journaux de données », puis cliquez sur Restaurer.
- Mettez à jour votre routeur avec le dernier firmware. ASUS a des instructions de mise à jour du firmware ici.
- Changer le mot de passe administratif par défaut à quelque chose de long, fort et unique. N’en faites pas le même mot de passe que vous utilisez pour vous connecter au réseau.
- Assurez-vous que l’option « Gestion à distance » dans les paramètres avancés du routeur est désactivée. Il devrait être désactivé par défaut.