Oh génial, un nouveau logiciel malveillant permet aux pirates de pirater votre routeur Wi-Fi

Comme si vous n'aviez pas déjà assez de soucis, un nouveau rapport révèle que les pirates informatiques ciblent les routeurs Wi-Fi domestiques pour accéder à tous vos appareils connectés.

Le rapport provient de Black Lotus Lab, une division de sécurité de Lumen Technologies. Le rapport détaille plusieurs attaques réelles observées sur des routeurs de petite maison/bureau à domicile (SOHO) depuis 2020, lorsque des millions de personnes ont commencé à travailler à domicile au début de la pandémie de COVID 19.

Selon Black Lotus Lab, les attaquants utilisent des chevaux de Troie d'accès à distance (RAT) pour détourner le routeur d'une maison. Les chevaux de Troie utilisent une nouvelle souche de logiciels malveillants appelée zuoRAT pour accéder, puis se déployer à l'intérieur du routeur. Une fois déployés, les RAT permettent aux attaquants de charger et de télécharger des fichiers sur tous les appareils connectés sur le réseau domestique ou professionnel.

"Le passage rapide au travail à distance au printemps 2020 a offert une nouvelle opportunité aux acteurs de la menace de renverser les protections traditionnelles de défense en profondeur en ciblant les points les plus faibles du nouveau périmètre réseau – les routeurs pour petits bureaux/bureaux à domicile (SOHO)." Lumen Technologies a déclaré dans un article de blog . "Les acteurs peuvent tirer parti de l'accès au routeur SOHO pour maintenir une présence à faible détection sur le réseau cible."

ZuoRAT résiste aux tentatives de mise en bac à sable pour une étude plus approfondie. Il tente de contacter plusieurs serveurs publics lors de son premier déploiement. S'il ne reçoit aucune réponse, il suppose qu'il a été mis en bac à sable et se supprime.

Le logiciel malveillant est incroyablement sophistiqué et Lumen Technologies pense qu'il peut provenir d'un acteur de l'État-nation, et non de pirates malveillants. Cela signifie qu'un gouvernement disposant de beaucoup de ressources pourrait cibler les routeurs SOHO en Amérique du Nord et en Europe.

ZuoRAT accède à distance aux routeurs SOHO. Il analyse en permanence les réseaux à la recherche de routeurs vulnérables et d'attaques s'il en existe un.

Une fois que les chevaux de Troie sont entrés, il n'y a pas de limite aux dégâts qu'ils peuvent faire. Jusqu'à présent, ils se sont contentés de voler des données – des informations personnelles identifiables (PII), des informations financières et normalement des informations commerciales ou d'entreprise sécurisées. Cependant, les pirates ont la possibilité de déployer d'autres logiciels malveillants une fois qu'ils y ont accès.

Blue Lotus Lab a pu retracer l'un des virus zuoRAT jusqu'à des serveurs en Chine. En dehors de cela, on sait peu de choses sur les origines du malware.

Les routeurs domestiques les plus courants semblent être vulnérables, notamment Cisco, Netgear et ASUS. La meilleure façon de se protéger contre une infection zuoRAT est de redémarrer régulièrement votre routeur domestique. Le virus ne peut pas survivre à un redémarrage, qui efface le routeur et le restaure à ses paramètres d'usine.