Il existe un grand nombre de cyberattaques : phishing, attaque par ransomware, Attaques par Déni de Service (DoS) et Déni de Service Distribué (DDoS), malware divers et variés… La cybersécurité est un sujet avec lequel on ne plaisante pas, surtout depuis que ceux qui veulent la déjouer emploient l’intelligence artificielle pour arriver à leurs fins.
En ce qui concerne ASUS, c’est la société de cybersécurité GreyNoise qui a repéré cette campagne visant les routeurs de la marque. Selon l’entreprise, il se pourrait même que celle-ci soit liée à un État.
Un piratage conçu pour durer, malgré les correctifs
Depuis le mois de mars de cette année, GreyNoise a repéré environ 9 000 routeurs ASUS déjà compromis. Pour réussir leur coup, les pirates ont exploité en premier lieu plusieurs failles de sécurité (depuis corrigées, heureusement) pour prendre le contrôle administrateur des appareils en question.
Une fois aux manettes, ils ont modifié la configuration du routeur pour y installer une clé d’accès SSH : un système de connexion à distance sécurisé, normalement utilisé par les administrateurs. En ajoutant cette clé et en ouvrant un port réseau spécifique (53282), ils peuvent ensuite revenir à tout moment sur l’appareil, depuis n’importe où, sans avoir besoin d’identifiants classiques ni déclencher d’alerte.
Ce dispositif leur assure un accès permanent à la machine infectée par la clé SSH : même après un redémarrage ou une mise à jour du firmware, la porte reste tout de même ouverte. Pas besoin de logiciel malveillant ou autre manipulation plus complexe, ce qui rend la compromission bien plus difficile à détecter. Très commode pour eux, bien moins pour les personnes concernées.
Parmi les failles utilisées, on retrouve notamment CVE-2023-39780, une vulnérabilité d’injection de commandes qui permettait d’exécuter des instructions à distance sur le routeur. ASUS a depuis publié un correctif pour ce problème. Toutefois, les attaquants persistent et ont également exploité d’autres failles, restées jusqu’ici sous l’œil des radars. Elles n’ont même pas encore été intégrées à la base internationale des vulnérabilités (CVE). Les conséquences sont assez graves : malgré ces correctifs, la campagne reste toujours très active, et le nombre de routeurs compromis continue de grimper semaine après semaine.
Pour le moment, aucune activité malveillante n’a été associée à ces routeurs ; ce qui signifierait plutôt que les attaquants souhaitent rasssembler une petite armée de machines compromises. Ce qui, en soi, n’a rien de très rassurant. GreyNoise, de son côté, a choisi de ne pas rendre l’affaire publique immédiatement.
Avant toute annonce, la firme a d’abord alerté plusieurs agences gouvernementales, compte tenu du profil de l’attaque : un accès persistant et sans activité visible. Deux caractéristiques qui évoquent davantage une opération préparatoire à grande échelle plutôt qu’une simple campagne de cybercriminels « opportunistes ».
D’autres acteurs suivent cette campagne de près, dont Sekoia ; elle est désignée sous le nom de code ViciousTrap. Cette appellation sera désormais utilisée pour tracer les différentes opérations liées à cette vague d’infections ciblant les routeurs ASUS.
Comment savoir si votre routeur est concerné ?
Si vous possédez un routeur ASUS, il est possible de vérifier vous-même si celui que vous possédez est compromis. Rendez-vous dans la configuration du routeur et jetez un coup d’oeil aux paramètres SSH. Si vous repérez qu’un accès SSH est actif sur le port 53282 et qu’une clé numérique qui commence par « ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ… », il y a de fortes chances que votre routeur soit infecté.
Vous pouvez également vous rendre dans les journaux système (logs) : la présence de connexions en provenance des adresses IP suivantes devraient aussi vous mettre la puce à l’oreille : 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, et 111.90.146[.]237.
On ne le répètera jamais assez, face à ces attaques moins voyantes que certaines autres, vous disposez d’une ligne de défense extrêmement simple à ériger : maintenez votre routeur à jour ! Vérifiez régulièrement les mises à jour de firmware proposées par le constructeur et appliquez-les sans attendre. Dans le cas d’ASUS, on peut les trouver ici sur le Download Center officiel de la marque. N’hésitez pas non plus à désactiver les accès distants inutiles lorsque vous n’en avez pas l’usage ; moins il y a d’ouvertures vers l’extérieur, moins vous avez de risques de voir quelque chose s’y engouffrer. C’est logique, mais une piqûre de rappel ne fait jamais de mal !
- Une cyberattaque sophistiquée, potentiellement liée à un État, cible les routeurs ASUS en exploitant des failles de sécurité, certaines étant encore inconnues.
- Les assaillants installent une porte dérobée persistante via une clé d’accès à distance, leur assurant un contrôle durable même après les mises à jour et les redémarrages
- Pour vous protéger, mettez à jour votre routeur sans tarder et vérifiez manuellement sa configuration SSH ainsi que les journaux système pour détecter toute intrusion.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
