L’éclipse de la citrouille

 (blog.lumen.com)
1 points par GN⁺ 2024-06-01 | 1 commentaires | Partager sur WhatsApp

Résumé du rapport de Black Lotus Labs

Aperçu de l’incident

  • Survenue de l’incident : du 25 au 27 octobre 2023, pendant 72 heures, plus de 600 000 routeurs de petite entreprise / domicile (SOHO) appartenant à un seul fournisseur d’accès à Internet (ISP) sont passés hors ligne.
  • Impact : les appareils infectés sont devenus définitivement inutilisables et ont nécessité un remplacement matériel.
  • Cause principale : un cheval de Troie d’accès à distance (RAT) nommé "Chalubo" a été identifié comme cause principale.

Le cheval de Troie Chalubo

  • Première découverte : identifié pour la première fois en 2018.
  • Caractéristiques :
    • supprime tous les fichiers du disque et s’exécute en mémoire.
    • utilise des noms de processus aléatoires déjà présents sur l’appareil.
    • chiffre toutes les communications avec les serveurs de commande et de contrôle (C2).
  • Fonctions : peut mener des attaques DDoS et exécuter des scripts Lua.

Processus d’infection

  • Accès initial : il est très probable qu’il ait exploité des identifiants faibles ou des interfaces d’administration exposées.
  • Étapes de l’infection :
    • Première étape : accès au serveur de charge utile initiale via le script bash "get_scrpc".
    • Deuxième étape : téléchargement et exécution de scripts et de charges utiles supplémentaires.
    • Fichiers principaux : /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs, etc.

Situation mondiale de l’infection

  • Activité : de novembre 2023 au début de l’année 2024, le malware Chalubo a été très actif.
  • Adresses IP infectées : plus de 330 000 adresses IP uniques étaient infectées au 30 octobre 2023.

Conclusion

  • Particularité : cette attaque était limitée à un ASN spécifique et a touché plus de 600 000 appareils.
  • Intention de l’attaque : rendre les appareils inutilisables via une mise à jour de firmware intentionnelle.
  • Recommandations de sécurité :
    • Organisations gérant des routeurs SOHO : ne pas utiliser les mots de passe par défaut et renforcer la sécurité des interfaces d’administration.
    • Utilisateurs ordinaires : redémarrer régulièrement le routeur et installer les mises à jour de sécurité.

Avis de GN⁺

  • Point intéressant : cet incident était limité à un seul ISP et reste très inhabituel par l’ampleur du remplacement matériel qu’il a imposé.
  • Nécessité d’un renforcement de la sécurité : il est urgent de renforcer la sécurité des routeurs SOHO et des appareils IoT.
  • Leçon technique : les techniques d’évasion de détection progressent, avec des malwares qui s’exécutent uniquement en mémoire et chiffrent leurs communications.
  • Solutions alternatives : il peut être utile d’examiner d’autres solutions ou projets de sécurité offrant des fonctions similaires.
  • Points à considérer lors de l’adoption : lors de l’adoption de nouvelles technologies de sécurité, il faut prendre en compte la compatibilité avec les systèmes existants ainsi que la facilité d’administration.

À lire aussi

1 commentaires

 
GN⁺ 2024-06-01
Avis Hacker News
  • Problème de firmware : rêver de couper la ligne d’écriture de la puce flash et de planifier un redémarrage quotidien pour corriger un problème causé par un souci de firmware.
  • Expérience avec des récepteurs satellites : comme avec les récepteurs satellites il y a 20 ans, il faut considérer tous les appareils connectés à Internet comme vulnérables aux contre-mesures électroniques.
  • Surveillance des mises à jour : besoin d’un système qui surveille les mises à jour des équipements et envoie une alerte lorsqu’une mise à jour se produit.
  • Manque de contenu dans l’article : l’article manque de détails intéressants. On se demande si le routeur a par défaut des ports et des services ouverts.
  • Comparaison de firmware : interrogation sur la possibilité de comparer différentes versions du firmware.
  • Utilisation d’OpenWrt : on dirait que la plupart des gens utilisent OpenWrt et le SDK du fournisseur.
  • Soupçon de mise à jour malveillante : soupçon que le fournisseur a envoyé une mise à jour malveillante ou corrompue.
  • Absence de déclaration officielle du FAI : interrogation sur l’absence de déclaration officielle du FAI. S’il s’agit d’une attaque, une enquête est nécessaire.
  • Gestion du problème aux États-Unis : interrogation sur la manière dont ce type de problème est traité aux États-Unis.
  • Possibilité d’infection par un bot : possibilité que les machines aient été infectées par un bot et que le fournisseur ait poussé une mise à jour qui a tout cassé.
  • Besoin d’être informé d’un incident de sécurité : en tant que client, on veut être informé d’un incident de sécurité.
  • Demande de lien vers l’image du firmware : demande d’un lien vers l’image du firmware de l’appareil ou de détails supplémentaires.
  • Journaux de trafic : interrogation sur la manière dont Black Lotus Labs sait, à partir des journaux de trafic, qu’il y a communication entre des IP.
  • Doute sur la sécurité de Tor : interrogation sur le fait de savoir si la sécurité de Tor est vraiment fiable.
  • Boîtier x86 et OpenWrt : préférence pour acheter un petit boîtier x86 avec double NIC et y faire tourner OpenWrt. Open source, beaucoup de support, bonne communauté, prise en charge de Wireguard.
  • Proposition de points de karma sur HN : proposition d’ajouter des points de karma sur HN aux soumetteurs qui améliorent les titres putaclic.
  • Recommandations utiles du gouvernement canadien : lien vers des recommandations utiles du gouvernement canadien.
  • Porte dérobée et bug de firmware : ce qui arrive quand on installe une porte dérobée sur 600 000 routeurs et qu’on y introduit un bug de firmware.
  • Déploiement progressif des mises à jour : interrogation sur l’impossibilité de déployer les mises à jour progressivement.
  • Sens du titre de l’article : interrogation sur le sens du titre de l’article.
  • Titre confus : pour ceux que le titre a déroutés, il s’agit de la destruction de 600 000 routeurs individuels.
  • Article connexe : lien vers un article connexe d’Ars Technica.