Asus a émis un avertissement aux propriétaires de certains de ses routeurs leur demandant de télécharger une mise à jour récente du micrologiciel pour aider à se protéger contre les nouveaux logiciels malveillants ciblant ses produits. Asus recommande de prendre immédiatement des mesures pour empêcher que votre réseau ne soit infecté par le malware botnet, connu sous le nom de Cyclops Blink, mais étudie une solution plus permanente.
Dans un bulletin de sécurité sur le site Web d’Asus, la société décrit la meilleure façon pour les utilisateurs de renforcer leurs défenses contre Cyclops Blink. Celles-ci incluent : la réinitialisation de l’appareil aux paramètres d’usine par défaut, la mise à jour de l’appareil vers la dernière version du micrologiciel, la modification du mot de passe administrateur et la désactivation de la gestion à distance (doit être désactivée par défaut).
Les produits Asus concernés sont :
- Micrologiciel GT-AC5300 sous 3.0.0.4.386.xxxx
- Micrologiciel GT-AC2900 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC5300 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC88U sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC3100 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC86U sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC68U, AC68R, AC68W, AC68P sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC66U_B1 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC3200 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC2900 sous 3.0.0.4.386.xxxx
- Micrologiciel RT-AC1900P, RT-AC1900P sous 3.0.0.4.386.xxxx
- RT-AC87U (fin de vie)
- RT-AC66U (fin de vie)
- RT-AC56U (fin de vie)
Les produits notés GT sont des routeurs de jeu très costauds, et certains des RT sont également des routeurs assez volumineux.
Cyclops Blink est un botnet modulaire avancé et persistant dont il est difficile de se débarrasser une fois qu’il s’est emparé de votre système. Trend Micro a effectué une plongée en profondeur dans le malware et exactement comment il fonctionne, que je vous recommande de lire si vous êtes dans ce genre de choses – c’est fascinant de connaître votre ennemi. Essentiellement, cependant, il établit une voie de communication entre un appareil infecté et les serveurs de l’attaquant, et est capable de chiffrer et d’envoyer des données à ces serveurs à sa guise.
Dans le cas de la variante Asus exacte de ces logiciels malveillants, il peut en fait accéder à la mémoire flash d’un appareil. Cela signifie qu’il aura un accès à peu près illimité à une machine une fois infectée. Cela signifie également que le logiciel malveillant peut survivre aux réinitialisations d’usine. Bien que, comme le note Asus, le fait de flasher un appareil devrait enfin éliminer les logiciels malveillants, mais à quelle fréquence la plupart des utilisateurs flashent-ils l’intégralité de leurs routeurs ?
Le logiciel malveillant lui-même est de nature modulaire, il est donc supposé qu’il pourrait être modifié par ses créateurs pour s’exécuter relativement facilement sur d’autres marques de routeurs.
Le botnet serait lié aux groupes de menace persistante avancée (APT) Sandstorm ou Voodoo Bear, indique Trend Micro. Ces groupes ont une longue histoire : le groupe Sandworm APT a été lié au botnet VPNFilter et à des attaques contre le réseau électrique ukrainien, la campagne présidentielle française et les Jeux olympiques d’hiver.
Le FBI, la CISA, le ministère américain de la Justice et le National Cyber Security Center du Royaume-Uni ont tous mis en garde contre la menace de Cyclops Blink le mois dernier.
« Le cyber-acteur malveillant connu sous le nom de Sandworm ou Voodoo Bear utilise un nouveau malware, appelé Cyclops Blink », lit-on dans la déclaration conjointe (via The Register). Cyclops Blink semble être un cadre de remplacement pour le logiciel malveillant VPNFilter exposé en 2018, qui exploitait les périphériques réseau, principalement les routeurs de petits bureaux/bureaux à domicile et les périphériques de stockage en réseau. »
Cela ressemble à un logiciel malveillant avec lequel vous ne voulez pas vous mêler. Comme toujours, la mise à jour des pilotes de votre PC avec les dernières versions est la meilleure forme de défense dans la plupart des cas, à moins de déconnecter tout votre PC d’Internet, bien sûr. Cependant, je pense qu’il y a sûrement de nombreux routeurs qui n’ont pas vu de patch dans leur vie, et c’est pourquoi il est vraiment important que les utilisateurs de ces appareils concernés tiennent compte de cet appel.