Un rapport de Trend Micro révèle que cybercriminels et acteurs étatiques exploitent et partagent parfois les mêmes routeurs compromis pour mener leurs opérations malveillantes.
Comme le montre un rapport récent de Trend Micro, les cybercriminels et les acteurs de menaces étatiques manifestent un intérêt commun pour les routeurs compromis. Ces derniers leur servent de couche d’anonymisation efficace pour leurs opérations malveillantes.
Cet intérêt commun découle principalement de l’utilisation polyvalente de ces dispositifs compromis, qui peuvent être loués à d’autres criminels.
Un exemple mentionné dans cette étude indique que des acteurs de menaces étatiques comme Sandworm ont développé leurs propres botnets de proxy dédiés. Parallèlement, le groupe APT Pawn Storm était connu pour utiliser un botnet de proxy criminel composé de routeurs Ubiquiti EdgeRouters. Ce botnet, opérationnel depuis 2016 et perturbé par le FBI américain en janvier 2024, montre la longévité et la persistance de ces menaces. Ce botnet n’était pas limité aux EdgeRouters seuls mais comprenait également une variété d’autres routeurs et serveurs privés virtuels (VPS). Il est à relever que, même après la perturbation du FBI, les opérateurs du botnet ont montré un haut degré de résilience en transférant rapidement le contrôle à une nouvelle infrastructure de commande et de contrôle (C&C).
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une activité simultanée de plusieurs groupes cybercriminels sur le même botnet
Pour ces exemples de botnets, l’analyse de certains EdgeRouters compromis a révélé une activité simultanée de deux groupes cybercriminels proéminents aux côtés de l’acteur de menace étatique, Pawn Storm. Cette découverte met en lumière le paysage complexe et stratifié auquel les organisations sont confrontées, où plusieurs entités malveillantes peuvent exploiter la même infrastructure de routeurs piratés.
En conclusion, les défis de sécurité posés par les routeurs compromis nécessitent un effort concerté de tous les acteurs impliqués dans la gestion de réseau et la cybersécurité. Les agences de maintien de l’ordre, les experts en cybersécurité, et les participants du secteur privé doivent travailler ensemble pour développer et mettre en œuvre des techniques de détection avancées et des stratégies de réponse qui peuvent neutraliser préventivement ces menaces. Des initiatives communautaires comme le partage des meilleures pratiques, de l’intelligence sur les menaces et des données d’incidents en temps réel peuvent considérablement renforcer les mécanismes de défense collective contre de telles menaces sophistiquées.
Pour en savoir plus
Roulette de routeurs : les cybercriminels et les États-nations partagent des réseaux compromis
Cette entrée de blog vise à souligner les dangers des routeurs connectés à Internet et à élaborer sur l’exploitation des EdgeRouters par Pawn Storm, complétant l’avis du FBI du 27 février 2024.
Router Roulette : des routeurs braqués par des espions et des cybercriminels – Le Monde Informatique
Une étude menée par Trend Micro montre un intérêt commun de groupes de cybercriminels mais aussi d’espion pour des botnets composés de routeurs de différentes marques. Ils peuvent ainsi mener plusieurs types d’attaque.
Les pirates informatiques ciblent les routeurs du monde entier
Les chercheurs de Trend Micro ont utilisé les EdgeRouters d’Ubiquity comme exemple de routeurs Internet exploités simultanément par un certain nombre de groupes de pirates informatiques.
(Re)découvrez également:
Des millions de téléphones mobiles préinfectés par des logiciels malveillants
Des logiciels malveillants pré-installés infectent des millions d’appareils Android dans le monde, selon une étude de Black Hat Asia
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
