Un rapport de Trend Micro révèle que cybercriminels et acteurs étatiques exploitent et partagent parfois les mêmes routeurs compromis pour mener leurs opérations malveillantes.
Comme le montre un rapport récent de Trend Micro, les cybercriminels et les acteurs de menaces étatiques manifestent un intérêt commun pour les routeurs compromis. Ces derniers leur servent de couche d’anonymisation efficace pour leurs opérations malveillantes.
Cet intérêt commun découle principalement de l’utilisation polyvalente de ces dispositifs compromis, qui peuvent être loués à d’autres criminels.
Un exemple mentionné dans cette étude indique que des acteurs de menaces étatiques comme Sandworm ont développé leurs propres botnets de proxy dédiés. Parallèlement, le groupe APT Pawn Storm était connu pour utiliser un botnet de proxy criminel composé de routeurs Ubiquiti EdgeRouters. Ce botnet, opérationnel depuis 2016 et perturbé par le FBI américain en janvier 2024, montre la longévité et la persistance de ces menaces. Ce botnet n’était pas limité aux EdgeRouters seuls mais comprenait également une variété d’autres routeurs et serveurs privés virtuels (VPS). Il est à relever que, même après la perturbation du FBI, les opérateurs du botnet ont montré un haut degré de résilience en transférant rapidement le contrôle à une nouvelle infrastructure de commande et de contrôle (C&C).
Une activité simultanée de plusieurs groupes cybercriminels sur le même botnet
Pour ces exemples de botnets, l’analyse de certains EdgeRouters compromis a révélé une activité simultanée de deux groupes cybercriminels proéminents aux côtés de l’acteur de menace étatique, Pawn Storm. Cette découverte met en lumière le paysage complexe et stratifié auquel les organisations sont confrontées, où plusieurs entités malveillantes peuvent exploiter la même infrastructure de routeurs piratés.
En conclusion, les défis de sécurité posés par les routeurs compromis nécessitent un effort concerté de tous les acteurs impliqués dans la gestion de réseau et la cybersécurité. Les agences de maintien de l’ordre, les experts en cybersécurité, et les participants du secteur privé doivent travailler ensemble pour développer et mettre en œuvre des techniques de détection avancées et des stratégies de réponse qui peuvent neutraliser préventivement ces menaces. Des initiatives communautaires comme le partage des meilleures pratiques, de l’intelligence sur les menaces et des données d’incidents en temps réel peuvent considérablement renforcer les mécanismes de défense collective contre de telles menaces sophistiquées.