Le FBI avertit que les acteurs de la menace déploient des logiciels malveillants sur des routeurs en fin de vie (EoL) pour les convertir en proxies vendus sur les réseaux 5Socks et Anyproxy.
Ces appareils, qui ont été commercialisés il y a de nombreuses années et ne reçoivent plus de mises à jour de sécurité de leurs fournisseurs, sont vulnérables aux attaques externes exploitant des exploits accessibles au public pour injecter des logiciels malveillants persistants.
Une fois compromis, ils sont ajoutés aux botnets proxy résidentiels qui acheminent le trafic malveillant. Dans de nombreux cas, ces proxys sont utilisés par les cybercriminels pour mener des activités malveillantes ou des cyberattaques.
« »Avec les 5 Socks et tout réseau proxy, les criminels vendent l’accès à des routeurs compromis en tant que proxys que les clients peuvent acheter et utiliser », explique l’avis Flash du FBI.
« Les proxys peuvent être utilisés par les acteurs de la menace pour masquer leur identité ou leur emplacement. »
L’avis répertorie les modèles EoL Linksys et Cisco suivants comme cibles communes:
- Linksys E1200,E2500,E1000,E4200,E1500,E300,E3200,E1550
- Connecteurs Linksys WRT320N, WRT310N et WRT610N
- Point d’ancrage E100
- Système Cisco M10
Le FBI avertit que des acteurs parrainés par l’État chinois ont exploité les vulnérabilités connues (n-day) de ces routeurs pour mener des campagnes d’espionnage secrètes, y compris des opérations ciblant des infrastructures américaines critiques.
Dans un bulletin connexe, l’agence confirme que bon nombre de ces routeurs sont infectés par une variante du logiciel malveillant « TheMoon », qui permet aux acteurs de la menace de les configurer en tant que proxys.
« Les routeurs en fin de vie ont été violés par des cyberacteurs utilisant des variantes du botnet malveillant TheMoon », lit-on dans le bulletin du FBI.
« Récemment, certains routeurs en fin de vie, avec l’administration à distance activée, ont été identifiés comme compromis par une nouvelle variante du malware TheMoon. Ce malware permet aux cyberacteurs d’installer des proxys sur des routeurs victimes sans méfiance et de mener des cybercrimes de manière anonyme. »
Une fois compromis, les routeurs se connectent aux serveurs de commande et de contrôle (C2) pour recevoir des commandes à exécuter, telles que la recherche et la compromission de périphériques vulnérables sur Internet.
Le FBI affirme que les procurations sont ensuite utilisées pour échapper à la détection lors du vol de crypto-monnaie, des activités de cybercriminalité pour compte d’autrui et d’autres opérations illégales.
Les signes courants de compromission par un botnet incluent des perturbations de la connectivité réseau, une surchauffe, une dégradation des performances, des modifications de configuration, l’apparition d’utilisateurs administrateurs indésirables et un trafic réseau inhabituel.
La meilleure façon d’atténuer le risque d’infections de botnet est de remplacer les routeurs en fin de vie par des modèles plus récents et activement pris en charge.
Si cela est impossible, appliquez la dernière mise à jour du micrologiciel de votre modèle, provenant du portail de téléchargement officiel du fournisseur, modifiez les informations d’identification du compte administrateur par défaut et désactivez les panneaux d’administration à distance.
Le FBI a partagé des indicateurs de compromission associés aux logiciels malveillants installés sur les appareils en fin de vie.