Le Brésil est à la pointe d’un nouveau type d’attaque de routeur

Avast: Plus de 180000 routeurs au Brésil ont vu leurs paramètres DNS modifiés au premier trimestre 2019.

Depuis près d’un an, les utilisateurs brésiliens sont la cible d’un nouveau type d’attaque de routeur qui n’a été vu nulle part ailleurs dans le monde.

Les attaques sont presque invisibles pour les utilisateurs finaux et peuvent avoir des conséquences désastreuses, ayant la capacité d’entraîner des pertes financières directes pour les utilisateurs piratés.

Ce qui arrive actuellement aux routeurs au Brésil devrait être un signe d’avertissement pour les utilisateurs et les FAI du monde entier, qui devraient prendre des précautions pour sécuriser les appareils avant que les attaques observées dans ce pays d’Amérique du Sud ne se propagent également à eux.

ATTAQUES MODIFIANT LE DNS DU ROUTEUR

Les attaques contre les routeurs au Brésil ont commencé l’été dernier et ont été observées pour la première fois par la société de cybersécurité Radware , puis un mois plus tard par des chercheurs en sécurité de Netlab , une unité de recherche de menaces réseau du géant chinois de la cybersécurité Qihoo 360.

À l’époque, les deux sociétés ont décrit comment un groupe de cybercriminels avait infecté plus de 100 000 routeurs domestiques au Brésil et modifiait leurs paramètres DNS.

Les modifications apportées à ces routeurs redirigeaient les utilisateurs infectés vers des sites Web clones malveillants chaque fois qu’ils tentaient d’accéder aux sites de banque en ligne de certaines banques brésiliennes.

Des attaques similaires ont été observées quelques mois plus tard, en avril 2019, par la société de renseignements sur la menace Bad Packets, qui a détaillé une autre vague d’attaques , mais cette fois visant principalement les routeurs D-Link, également hébergés sur les FAI brésiliens.

Cette fois-ci, en plus de détourner des utilisateurs visitant des banques brésiliennes, les pirates redirigeaient également les utilisateurs vers des pages de phishing pour Netflix, Google et PayPal, afin de collecter leurs informations d’identification, selon des chercheurs d’Ixia .

Mais selon un rapport publié par Avast cette semaine, ces attaques ne se sont pas arrêtées . En fait, selon la société, au premier semestre 2019, des pirates informatiques ont infecté et modifié les paramètres DNS de plus de 180000 routeurs brésiliens.

Attaques de routeur au Brésil
Attaques bloquées par Avast sur les routeurs brésiliensImage: Avast

En outre, la complexité des attaques a augmenté et le nombre d’acteurs impliqués dans les attaques semble également avoir augmenté.

COMMENT SE DÉROULE UN PIRATAGE DE ROUTEUR

Selon les chercheurs d’Avast David Jursa et Alexej Savčin, la plupart des utilisateurs brésiliens se font pirater leurs routeurs domestiques lorsqu’ils visitent des sites de sports et de streaming de films, ou des portails pour adultes.

Sur ces sites, des publicités malveillantes (malvertising) exécutent un code spécial dans les navigateurs des utilisateurs pour rechercher et détecter l’adresse IP d’un routeur domestique, le modèle du routeur. Lorsqu’elles détectent l’adresse IP et le modèle du routeur, les publicités malveillantes utilisent ensuite une liste de noms d’utilisateur et de mots de passe par défaut pour se connecter aux appareils des utilisateurs, à leur insu.

Les attaques prennent un certain temps, mais la plupart des utilisateurs ne remarqueront rien, car ils sont généralement occupés à regarder les flux vidéo sur les sites Web auxquels ils viennent d’accéder.

Si les attaques réussissent, un code malveillant supplémentaire relayé via les publicités malveillantes modifiera les paramètres DNS par défaut sur les routeurs des victimes, remplaçant les adresses IP du serveur DNS que les routeurs reçoivent des FAI en amont par les adresses IP des serveurs DNS gérés par les pirates.

La prochaine fois que le smartphone ou l’ordinateur des utilisateurs se connectera au routeur, il recevra les adresses IP du serveur DNS malveillant, et de cette manière, acheminera toutes les requêtes DNS via les serveurs de l’attaquant, leur permettant de détourner et de rediriger le trafic vers des clones malveillants.

GHOSTDNS, NAVIDADE ET SONARDNS

Les pirates informatiques de l’enquête de Per Avast ont utilisé deux kits spéciaux pour ces attaques. Le premier s’appelle GhostDNS, et est celui qui a été repéré pour la première fois depuis l’été dernier, et le botnet décrit par Radware et Netlab l’année dernière.

Une variante de GhostDNS, appelée Navidade, est également apparue en février.

Selon Avast, « Novidade a tenté d’infecter les routeurs des utilisateurs d’Avast plus de 2,6 millions de fois en février seulement et a été diffusé via trois campagnes. »

De plus, depuis la mi-avril, un autre acteur est entré sur le marché. Avast appelle ce nouveau botnet SonarDNS parce que l’attaquant semble avoir redéfini un cadre de test de pénétration nommé Sonar.js comme épine dorsale de son infrastructure.

Et Sonar.js est parfait pour les attaques de routeur. Cette bibliothèque JavaScript est normalement utilisée par les testeurs d’intrusion pour identifier et lancer des exploits contre des hôtes réseau internes, et est idéale pour déterminer un type de routeur et exécuter des exploits sur l’appareil ciblé avec seulement quelques lignes de code.

Avast dit avoir vu SonarDNS dans trois campagnes différentes au cours des trois derniers mois, et son mode de fonctionnement semble imiter le fonctionnement de GhostDNS.

REMPLACEMENT D’ANNONCES ET CRYPTOJACKING

Mais les attaques de détournement de DNS visant les routeurs au Brésil ne sont pas restées immobiles et ont également évolué. Outre le détournement du trafic et la redirection des utilisateurs vers des pages de phishing, les groupes de pirates derrière ces attaques ont également ajouté des astuces supplémentaires à leur arsenal.

La première consiste à intercepter le trafic des utilisateurs et à remplacer les publicités légitimes par des publicités exploitées ou qui génèrent des bénéfices pour les attaquants.

Cette tactique n’est pas nouvelle en soi. En 2016, les chercheurs de Proofpoint ont repéré un kit d’exploit qu’ils ont nommé DNSChanger EK qui a fait la même chose – en remplaçant les publicités légitimes par des publicités malveillantes – et est probablement l’inspiration de ce que les opérateurs de botnet ciblant le Brésil font actuellement.

Deuxièmement, les opérateurs de GhostDNS, Navidade et SonarDNS ont également déployé des scripts de cryptojacking basés sur un navigateur. Cette dernière tactique a également été observée au Brésil avant, l’année dernière, lorsqu’un autre groupe a détourné plus de 200000 routeurs Mikrotik et ajouté des mineurs de crypto-monnaie dans le navigateur au trafic Web des utilisateurs.

RISQUE DE PROPAGATION À D’AUTRES PAYS

Mais malgré tout cela, les attaques qui changent le DNS sont celles qui sont les plus dangereuses de toutes pour les utilisateurs finaux. En effet, les opérateurs de botnet hameçaient les informations d’identification des utilisateurs et détournaient des profils en ligne ou volaient de l’argent sur les comptes bancaires des utilisateurs.

Les attaques étant si sournoises, difficiles à détecter et si rentables, la raison pour laquelle elles ne se sont pas propagées à d’autres pays reste un mystère.

Le piratage des routeurs est à la fois bon marché et facile. Cependant, la plupart des botnets IoT asservissent aujourd’hui ces appareils pour qu’ils effectuent des attaques DDoS ou agissent comme des proxys pour les attaques de mauvais trafic, de force brute ou de bourrage d’informations d’identification. Utiliser des routeurs pour le phishing serait bien plus rentable.

Les utilisateurs qui souhaitent se protéger contre tout botnet IoT qui cible les routeurs pour modifier les paramètres DNS ont quelques options à leur disposition:

  • Utilisez des mots de passe d’administration de routeur complexes
  • Gardez les routeurs à jour
  • Utilisez des paramètres DNS personnalisés sur leurs appareils, ce qui empêche le système d’exploitation de l’appareil de demander des paramètres DNS éventuellement corrompus au routeur local