Résumé de la campagne impactant les routeurs ASUS.
En mars 2025, GreyNoise, entreprise spécialisée dans l’analyse de la sécurité réseau, a découvert une campagne d’attaque d’une sophistication rare visant les routeurs ASUS exposés sur internet. Cette campagne, révélée publiquement le 28 mai 2025, a suscité une attention particulière dans le monde de la cybersécurité, en raison de la discrétion avec laquelle elle a été menée et de l’ampleur potentielle des dispositifs compromis. En effet 9000 routeurs ASUS ont été compromis par le botnet.
Tout commence le 17 mars 2025, lorsque Sift, une plateforme de surveillance réseau exploitant l’intelligence artificielle développée par GreyNoise, identifie une série de comportements anormaux dans les requêtes HTTP provenant de routeurs ASUS. Ces anomalies n’étaient pas identifiées comme malveillantes par les systèmes de détection traditionnels, mais elles alertent suffisamment les chercheurs pour initier une enquête approfondie dès le lendemain. Les jours qui suivent sont consacrés à une analyse minutieuse des schémas de communication, des ports utilisés, ainsi que des types de paquets échangés. Très vite, l’équipe de GreyNoise comprend qu’elle a affaire à une opération de grande envergure qui utilise des techniques d’attaque avancées, rarement vues dans des campagnes à aussi large échelle.
Ce n’est que le 22 mai 2025 que la société Sekoia, un autre acteur du secteur de la cybersécurité, publie un premier rapport attribuant l’attaque à une campagne baptisée "ViciousTrap". Elle évoque un usage malveillant de routeurs ASUS compromis pour potentiellement monter un réseau de bots (botnet) ou d’autres activités clandestines. GreyNoise attend encore quelques jours pour confirmer et compléter ses propres observations, qu’elle rend publiques le 28 mai.
Méthodologie d'attaque des assaillants.
La méthode utilisée dans cette campagne révèle un haut niveau de compétence technique. L’accès initial aux routeurs semble avoir été obtenu en exploitant une vulnérabilité connue mais pas toujours corrigée dans les firmwares des modèles ASUS concernés. Une fois l’accès acquis, les attaquants ne déposent aucun fichier malveillant classique sur l’appareil. C’est ce qui rend cette campagne particulièrement difficile à détecter. L’environnement de la mémoire système est modifié dynamiquement, parfois même à l’aide d’outils intégrés aux firmwares ASUS, pour injecter des charges utiles en mémoire vive, évitant ainsi l’écriture sur disque qui trahirait leur présence.
Les chercheurs ont identifié plusieurs adresses IP utilisées pour le commandement et le contrôle (C2), mais ces serveurs étaient changeants et souvent géographiquement dispersés, indiquant l’utilisation de proxys ou de services cloud compromis. L’analyse du trafic a aussi révélé que les attaquants avaient un contrôle très fin sur le rythme et la nature des communications avec les routeurs, ce qui leur permettait d’échapper aux détections par heuristique ou signature.
Un autre élément notable de la campagne est la persistance obtenue sans modification visible du système. Les assaillants ont utilisé des fonctions légitimes du système, comme la configuration automatique au redémarrage, pour garantir que leur accès ne serait pas révoqué après un simple reboot ou une mise à jour superficielle. Cette technique laisse peu de traces et rend les interventions de nettoyage particulièrement complexes. Les utilisateurs eux-mêmes n’ont souvent aucun indice d’une compromission : les performances restent normales, aucun message d’erreur ou comportement étrange ne trahit l’infection.
GreyNoise insiste sur le fait que cette opération n’était pas opportuniste, mais ciblée et planifiée. Les attaquants ont sélectionné un type précis de matériel exposé en ligne, démontrant ainsi une connaissance approfondie du paysage technologique des routeurs domestiques et professionnels. L’absence d’éléments habituels d’attaques en masse – comme des tentatives de ransomwares ou d’exfiltration de données en clair – suggère que le but de cette campagne était d’établir un réseau silencieux de dispositifs compromis pour des usages ultérieurs, probablement en lien avec l’espionnage ou des attaques coordonnées futures.
À l’heure actuelle, il est difficile d’attribuer cette attaque à un acteur précis. L’absence de code malveillant réutilisé, les infrastructures éphémères, et la stratégie d’effacement des traces rendent l’attribution complexe. Toutefois, le niveau d’expertise et les ressources mobilisées indiquent qu’il pourrait s’agir d’un groupe parrainé par un État ou d’un collectif cybercriminel de très haut niveau.
Recommandations de sécurité.
Pour les utilisateurs de routeurs ASUS, la situation est préoccupante mais pas désespérée. GreyNoise et d’autres entreprises de cybersécurité recommandent plusieurs mesures immédiates. D’abord, il est essentiel de vérifier que le firmware du routeur est à jour. ASUS a publié récemment des correctifs pour plusieurs modèles, en lien avec des vulnérabilités similaires à celles exploitées ici. Ensuite, il est recommandé de modifier les identifiants d’administration du routeur s’ils n’ont pas déjà été changés, afin d’éviter toute exploitation par accès brut. Il est aussi conseillé de désactiver l’accès à distance à l’interface d’administration, une fonction souvent activée par défaut et rarement utile dans un usage domestique. Enfin, il peut être judicieux de surveiller activement le trafic réseau émanant du routeur pour détecter des connexions vers des adresses IP inconnues ou suspectes.
Cette campagne soulève des questions plus larges sur la sécurité des appareils connectés à internet. Les routeurs, bien qu’essentiels à l’infrastructure numérique domestique et professionnelle, restent souvent les parents pauvres de la cybersécurité. Trop peu d’utilisateurs pensent à les mettre à jour régulièrement, et trop de fabricants tardent à publier des correctifs ou à fournir des interfaces de gestion accessibles et sécurisées. Les campagnes comme celle analysée par GreyNoise rappellent qu’un simple appareil exposé peut devenir une porte d’entrée pour des opérations à l’échelle mondiale.
Dans ses conclusions, GreyNoise insiste sur la nécessité d’une collaboration renforcée entre les fabricants de matériel, les chercheurs en cybersécurité, et les utilisateurs finaux. Sans action concertée, les campagnes comme "ViciousTrap" risquent de se multiplier, rendant l’espace numérique encore plus vulnérable. Si cette attaque n’a pas encore montré tous ses objectifs finaux, elle constitue déjà une alerte sérieuse sur l’état de la sécurité des infrastructures réseau personnelles.
Préconisations techniques.
Plus concrètement ASUS a déployé un correctif pour tous les routeurs ASUS RT-AX55 concernés. Vous pouvez également vérifier que le port TCP 53282 n'est pas ouvert sur votre routeur ; c'est par ce biais que le botnet AyySSHus s'invite. Enfin, vous pouvez interdire les adresses IP suivantes 101.99.91.151 ; 101.99.94.173 ; 79.141.163.179 ; 111.90.146.237 qui sont celles quele botnet utilise.
Pour plus de détails techniques et d’indicateurs de compromission (IoCs), le rapport technique est disponible sur le site de GreyNoise. Il inclut également des signatures de trafic, des adresses IP de serveurs suspects, et des recommandations spécifiques pour les analystes de sécurité.
Articles
Aucun commentaire:
Enregistrer un commentaire