Que peuvent bien avoir en commun des cybercriminels et des cyber-espions soutenus par des Etats ? Sans aucun doute un besoin vital de discrétion. Pour y parvenir, les deux groupes ont vite compris l'intérêt des routeurs Internet comme l'explique Trend Micro dans une dernière recherche. Alors que des groupes APT comme Sandworm utilisent leurs propres botnets de proxy dédiés, Pawn Storm (aka APT28 et Forest Blizzard) recourt par exemple à un botnet composé de routeurs Ubiquiti EdgeRouter.

Le botnet EdgeRouter utilisé par Pawn Storm (entravé par le FBI et d'autres forces de police et de justice en janvier dernier) remonte à 2016 et embarque par ailleurs d'autres routeurs et des serveurs privés virtuels (VPS). "Après l'interruption, l'opérateur du botnet a réussi à transférer des bots vers une infrastructure de commande et de contrôle (C&C) nouvellement mise en place", fait savoir Trend Micro. En avril 2022, ce cybergang a réussi à accéder aux systèmes enrôlés dans ce botnet qu'il a utilisé à ses propres fins de campagnes persistantes d'espionnage. Trend Micro assure avoir observé que des centaines de routeurs Ubiquiti EdgeRouter ont ainsi été employés pour des usages malveillants très éclectiques. Parmi lesquels : des attaques SSH par force brut, des attaques de relais de hachage NTLMv2, du minage de cryptomonnaies, l'envoi de spear phishing...

Un botnet de systèmes zombie imperturbables

La modification (limitée) des paramètres des routeurs Ubiquiti EdgeRouter suite à l'action du FBI n'a malheureusement pas pu changer grandement la donne : "bien que ces modifications soient réversibles, elles sont soumises à des restrictions juridiques et à des défis techniques. C'est probablement à cause de ces limitations que certains bots n'ont pas pu être nettoyés", indique Trend Micro. Résultat : Pawn Storm a ainsi réussi à transférer certains des bots EdgeRouter du serveur C&C mis hors service le 26 janvier 2024 vers une infrastructure C&C nouvellement mise en place au début février 2024. Les routeurs Ubiquiti ne sont pas les seuls à composer ce botnet car des Raspberry Pi ainsi que d'autres terminaux connectés à Internet ont été identifiés. "Nous avons trouvé plus de 350 adresses IP VPS de datacenters qui étaient toujours compromises, même après l'interruption du FBI", a même prévenu Trend Micro. "En fait, tout routeur Internet basé sur Linux pourrait être affecté, en particulier ceux qui ont été livrés avec des informations d'identification par défaut".

Un grand nombre de bots ont également un serveur SOCKS5 ouvert peut-on lire dans la recherche. Le port sur lequel celui-ci fonctionne est généralement renvoyé à un serveur C&C du réseau de zombies ayant pu être perturbé par les actions de forces de police et de justice amenant les cybercriminels à réagir. Comment ? Dans certains cas l'acteur malveillant utilise par exemple une version personnalisée de MicroSocks dont les interfaces et le port TCP56981 sont prédéfinis. Le binaire MicroSocks est généralement situé dans le répertoire /root/.tmp/local non sans un certain succès : fin février 2024, les auteurs malveillants ont ajouté l'authentification par nom d'utilisateur et mot de passe dans MicroSocks, l'ont recompilé, puis l'ont retéléchargé vers les bots.

Le malware Ngioweb aussi en embuscade

Sans avoir été explicitement mentionné par le FBI, SSHDoor (version compromise par backdoor d'un serveur SSH) a pu être utilisé par Pawn Storm pour accéder à des routeurs basés sur EdgeOS. D'après les activités de Pawn Storm, Trend Micro a ainsi trouvé des systèmes EdgeRouter infectés de cette façon, soit 80 hôtes sur 177. "Nous avons été en mesure de trouver plusieurs binaires sshd backdoored fonctionnant dans les routeurs EdgeRouter. Certains d'entre eux sont des versions non modifiées du binaire téléchargé sur GitHub en 2016, tandis que d'autres ont été modifiés pour accepter un mot de passe différent. Pour s'assurer de pouvoir conserver leur accès aux bots, les acteurs de la menace ont également ajouté une clé publique à /root/.ssh/authorized_keys et ont parfois configuré sshd pour qu'il écoute sur un port supplémentaire", prévient la firme de sécurité.

Trend Micro a aussi trouvé un autre botnet Linux avec des malwares fonctionnant sur ces EdgeRouters semblables à ceux utilisés par Pawn Storm. Ce botnet est plus discret, avec une meilleure sécurité opérationnelle, les logiciels malveillants associés fonctionnant uniquement en mémoire, d'après ce que Trend Micro a pu constater, et aucun fichier malveillant n'étant laissé sur le disque. En examinant les vidages de mémoire et les connexions C&C établies par les bots, nous avons découvert qu'il s'agissait d'une version du malware Ngioweb. "Nous avons la preuve que les bots de ce botnet sont utilisés dans un botnet résidentiel qui est commercialement disponible pour les abonnés payants [...] Le fait que nous ayons trouvé au moins trois acteurs de menace importants sur certains des EdgeRouters montre qu'ils ont un intérêt considérable à compromettre les routeurs orientés vers l'internet".