Un malware très sophistiqué infectant des routeurs depuis 6 ans a été découvert, Réactions à la publication du 12/03/2018

[Lionel]

Kaspersky Lab a annoncé la découverte d'un malware baptisé Slingshot.

Il est si furtif qu'il sévirait depuis six ans sans avoir été découvert.
Il ne s'attaque pas directement aux ordinateurs mais à des routeurs (MikroTik) dans lesquels il va installer toute une batterie d'outils permettant d'en prendre le contrôle total puis à travers eux de s'attaquer aux ordinateurs depuis le réseau local.
L'attaque des PC se fait alors par deux éléments considérés par les chercheurs en sécurité comme des chefs-d'œuvre. Le premier va permettre d'accéder au niveau le plus bas du kernel, à la mémoire et au stockage tandis que le second n'aura comme seul but que d'éviter que les utilisateurs ne puissent se débarrasser de leur présence.

La sophistication des attaques est telle que Kaspersky considère que seuls des états ont les moyens, la patience et le savoir-faire pour créer de tels produits. Les pays les plus ciblés ont été l'Afghanistan, l'Irak, la Jordanie, le Kenya, la Libye et la Turquie tandis que tout porte à croire que l'origine du code est un pays anglophone.

Il est à craindre que d'autres routeurs que les MikroTik soient touchés par ce logiciel malveillant ou une de ses déclinaisons.

Lien vers le billet original

[Jack the best]

On n'a pas fini d'être em…bêté !

[amike]

Tron...

[WipeOut]

NSA or FBI or CIA what else ?

[zoso2k1]

NSA or FBI or CIA what else ?

Les trois ?

[iAPX]

Les routeurs sont de belles cibles depuis des années, surtout qu'ils ont des failles de sécurité en grand nombre et ne sont quasiment jamais mis à jours, même dans les rares cas où le fournisseur en propose, Apple étant clairement la seule exception avec un suivi sur le long-terme, un signal visuel lorsqu'une mise à jour existe, et la possibilité de la faire sans se compliquer l'existence.

C'est en tout cas étrange une attaque ciblé géographiquement et sur un seul type de routeur!

L'attaque est très bonne et s'appuie sur l'utilitaire WinBox du fabricant MicroTik, destiné à faciliter la gestion du routeur, mais qui charge des DLL depuis celui-ci dans la machine de l'utilisateur (OMG!).
En remplaçant la DLL dans le routeur par celle du malware, il est chargé automagiquement dans l'ordinateur de l'usager, avec une belle astuce pour by-passer les signatures qui est d'utiliser des drivers signés, mais avec des failles de sécurité connues, pour après utiliser celles-ci pour s'injecter dans le système

C'est de très haut niveau, ça vise notamment des institutions gouvernementales, ça a pu passer sous le radar (et sous le nez des Antivirus et autres Firewall) pendant 6ans, ça sent la NSA et consors ça...

PS: c'est amusant d'utiliser des drivers signés et buggés pour monter l'attaque, car je voyais exactement ce cas-là pour Spectre Variante 2, pourquoi s'attaquer au noyau quand on a pléthore de vieux drivers pourris avec des sauts indirects exploitables

Ce message a été modifié par iAPX - 12 Mar 2018, 12:35.

[johnstone]

Les routeurs sont de belles cibles depuis des années, surtout qu'ils ont des failles de sécurité en grand nombre et ne sont quasiment jamais mis à jours, même dans les rares cas où le fournisseur en propose, Apple étant clairement la seule exception avec un suivi sur le long-terme, un signal visuel lorsqu'une mise à jour existe, et la possibilité de la faire sans se compliquer l'existence.

C'est en tout cas étrange une attaque ciblé géographiquement et sur un seul type de routeur!

L'attaque est très bonne et s'appuie sur l'utilitaire WinBox du fabricant MicroTik, destiné à faciliter la gestion du routeur, mais qui charge des DLL depuis celui-ci dans la machine de l'utilisateur (OMG!).
[...]

Pour les routeurs perso, oui, sûrement, mais quand même pas les routeurs d'entreprise ou ISP. D'ailleurs, j'aimerais bien savoir comment ce moyen d'attaque pourrait être adapté sur un routeur Cisco par exemple.

[zero]

Les routeurs sont de belles cibles depuis des années, surtout qu'ils ont des failles de sécurité en grand nombre et ne sont quasiment jamais mis à jours, même dans les rares cas où le fournisseur en propose, ...

Exact, ils préfèrent en profiter pour lancer un nouveau modèle avec les dernières failles corrigées et encore, pas toutes.

Ce message a été modifié par zero - 12 Mar 2018, 14:10.

[Pixelux]

Selon vous, est-ce qu'il un une marque de routeur ou modèle en particulier qui pourrait être intéressant à posséder ?

J'ai toujours aimer les routeurs Apple mais bon c'est fini. Quelqu'un à des idées ?

Je connais pas grands choses dans ça mais je suis prêt à apprendre.

Ce message a été modifié par Pixelux - 12 Mar 2018, 14:29.

[Miskia]

Selon vous, est-ce qu'il un une marque de routeur ou modèle en particulier qui pourrait être intéressant à posséder ?

J'ai toujours aimer les routeurs Apple mais bon c'est fini. Quelqu'un à des idées ?

Je connais pas grands choses dans ça mais je suis prêt à apprendre.

Depuis quelques années j'emploie exclusivement des routeurs & switchs de la gamme EdgeMax de chez Ubiquiti Networks. Ils sont également très bon avec ce qui fait leur succès premier: les bornes Wifi et le point à point wireless.
Un beau GUI et une CLI qui ressemble à celui de chez Cisco et surtout un rapport qualité prix imbattable pour une performance et une solidité au rendez-vous.

Ce message a été modifié par Miskia - 12 Mar 2018, 15:15.

[Pixelux]

Merci

Je vais littéralement prendre ça en note.

[linus]

Je trouve que ce genre d'info donne une sacrée claque à tout ceux qui, ici même, rejettent sytématiquement la faute des piratages sur la tête des malheureux responsables informatiques, ou pire des encore plus malheureux utilisateurs impuissants que nous sommes.
De mes lectures de MacBidouille je retiens que les gestionnaires informatiques qui dépensent des fortunes en serveurs super blindés, en logiciels plaqués or et rendent invivable l'informatique de leur boîte avec des règles paranoïaques, ne la protège guère mieux que celui qui en fait moins puisque le ver est au coeur même des puces des serveurs (de luxe ou pas) et ricane.
Après, c'est comme les obus en temps de guerre, le piratage ça vous tombent dessus ou pas.

[Ze Clubbeur]

Je trouve que ce genre d'info donne une sacrée claque à tout ceux qui, ici même, rejettent sytématiquement la faute des piratages sur la tête des malheureux responsables informatiques, ou pire des encore plus malheureux utilisateurs impuissants que nous sommes.
De mes lectures de MacBidouille je retiens que les gestionnaires informatiques qui dépensent des fortunes en serveurs super blindés, en logiciels plaqués or et rendent invivable l'informatique de leur boîte avec des règles paranoïaques, ne la protège guère mieux que celui qui en fait moins puisque le ver est au coeur même des puces des serveurs (de luxe ou pas) et ricane.
Après, c'est comme les obus en temps de guerre, le piratage ça vous tombent dessus ou pas.

Oui et non.
Parce qu'un bon gestionnaire informatique se tiendra informé que ce type d'attaques existent (comme tu le fais en lisant l'article) et pourra éventuellement prendre des mesures pour vérifier / réparer son réseau.
Le gestionnaire laxiste, lui se tiendra au courant tous les 6 mois (et encore) des problèmes et se dira : mouai, de toute façon, ça craint rien...
D'ailleurs, tu dois savoir qu'il existe des agences nationales chargées de répertorier les attaques informatiques et de les classer par ordre de risque.

[OKAVANGO]

C'est de très haut niveau, ça vise notamment des institutions gouvernementales, ça a pu passer sous le radar (et sous le nez des Antivirus et autres Firewall) pendant 6ans, ça sent la NSA et consors ça...

Impossible, les méchants, ce sont les russes.... donc ce sont les russes. Ou les chinois.... Ou les Coréens, du nord évidemment.

Mais les américains faire des trucs pareil, Hoooo.. c'est le gendarme du monde quand même, et ils sont tous gentils là-bas !

[Ze Clubbeur]

C'est de très haut niveau, ça vise notamment des institutions gouvernementales, ça a pu passer sous le radar (et sous le nez des Antivirus et autres Firewall) pendant 6ans, ça sent la NSA et consors ça...

Impossible, les méchants, ce sont les russes.... donc ce sont les russes. Ou les chinois.... Ou les Coréens, du nord évidemment.

Mais les américains faire des trucs pareil, Hoooo.. c'est le gendarme du monde quand même, et ils sont tous gentils là-bas !

En même temps, j'ai envie de dire... Si des gars sont assez malins pour concevoir un malware capable de passer sous les radars pendant 6 ans, on peut supposer qu'ils soient assez malins pour brouiller les pistes au niveau de leur code, non ?
Du coup, qu'est-ce qui les empêcherait d'écrire un code en anglais, qu'ils soient russes, israéliens, coréens ou chinois ?
En tout cas, moi, si je devais écrire un logiciel malveillant, pour brouiller les pistes, je commencerais par écrire dans une autre langue que la mienne... Et l'anglais me semblerait un bon début pour brouiller les pistes...

Après tout, on utilise bien un proxy pour regarder des programmes étrangers sur NetFlix...

Ce message a été modifié par Ze Clubbeur - 12 Mar 2018, 23:34.

[LordJohnWhorfin]

Les routeurs, j'ai l'impression qu'il vaut mieux acheter un modele bien vendu et capable de faire tourner openWRT/Tomato/un des softs open source. C'est le seul moyen d'avoir des updates à moyen et long terme. Sinon, c'est pas Netgear, Linksys (by Cisco) ou autres qui vont faire du suivi (A l'exception d'Apple qui fait toujours des MAJ de sécurité), mais bon c'est sur que c'est pas pour tout le monde. Sinon, pour ceux qui savent pas faire, acheter du milieu de gamme et le remplacer tous les deux ans est probablement la meilleure stratégie.

[iAPX]

Les routeurs, j'ai l'impression qu'il vaut mieux acheter un modele bien vendu et capable de faire tourner openWRT/Tomato/un des softs open source. C'est le seul moyen d'avoir des updates à moyen et long terme. Sinon, c'est pas Netgear, Linksys (by Cisco) ou autres qui vont faire du suivi (A l'exception d'Apple qui fait toujours des MAJ de sécurité), mais bon c'est sur que c'est pas pour tout le monde. Sinon, pour ceux qui savent pas faire, acheter du milieu de gamme et le remplacer tous les deux ans est probablement la meilleure stratégie.

+1 et pour ma part j'utiliser une TimeCapsule d'Apple, bien mis à jours, fournissant de nombreux services depuis des années et nous signalant l'arrivée d'une mise-à-jour

Et pour CISCO, ils ont un bel historique de failles de sécurité majeures, incluant se faire voler leur code-source en entier, bien entendu ce ne sont pas des backdoors. Ils ne sont pas comme ça...

Ce message a été modifié par iAPX - 12 Mar 2018, 23:59.

[Fafnir]

Pour mon service les trois routeurs (dont un avec la connection pour le téléphone) en cascade ont été installé par mon FAI (qui les louent avec le forfait mensuel). Le troisième a été placé quand il y a eu un problème l'année dernière. Si j'en crois 01net si je veux surveiller leur fonctionnement ce serait en allant vers VPN avec notamment Freedome.

[imagi]

Bonjour; je ne suis pas venu depuis pas mal de temps...

Rapport à cette information....
je me posais une question : Les routeurs estampillé des FAI
ne sont pas construit par les FAI; Comment connaitre le constructeur de son routeur?
Par exemple, je suis chez SFR, et mon routeur et un NB6
qui fabrique ça??

[_Panta]

Selon vous, est-ce qu'il un une marque de routeur ou modèle en particulier qui pourrait être intéressant à posséder ?

Linksys, sous OpenWRT, toi qui es linuxien tu vas te régaler

[Pixelux]

Selon vous, est-ce qu'il un une marque de routeur ou modèle en particulier qui pourrait être intéressant à posséder ?

Linksys, sous OpenWRT, toi qui es linuxien tu vas te régaler

J'en prend note aussi.

[_Panta]

Selon vous, est-ce qu'il un une marque de routeur ou modèle en particulier qui pourrait être intéressant à posséder ?

Linksys, sous OpenWRT, toi qui es linuxien tu vas te régaler

J'en prend note aussi.

ensuite si tu as une machine qui traine, pfSense - c'est ce que j'ai en tête de réseau (y)

[fr78]

...
Les pays les plus ciblés ont été l'Afghanistan, l'Irak, la Jordanie, le Kenya, la Libye et la Turquie tandis que tout porte à croire que l'origine du code est un pays anglophone.
...

Comment on en vient à croire que l'origine du malware est un pays anglophone ? Par rapport aux pays visés, ou parce que le code contient des noms de fonctions, de variables ou des commentaires en anglais ?

[Mathewww]

Selon vous, est-ce qu'il un une marque de routeur ou modèle en particulier qui pourrait être intéressant à posséder ?

Stormshield type SN160 , SN210W etc..
Complètement européen et filiale à 100% d'Airbus Cybersecurity.
Bon par contre c'est pour les pros mais pas forcément les grosses boites (le spécialisate qui nous a fait l'install met ça chez des artisans, professions libérales etc...)

[Licorne31]

En tout cas, moi, si je devais écrire un logiciel malveillant, pour brouiller les pistes, je commencerais par écrire dans une autre langue que la mienne... Et l'anglais me semblerait un bon début pour brouiller les pistes...

Moi, je préfèrerais employer le Latin, histoire de détourner les soupçons sur le Vatican...

[mazelle jeanne]

Bonjour; je ne suis pas venu depuis pas mal de temps...

Rapport à cette information....
je me posais une question : Les routeurs estampillé des FAI
ne sont pas construit par les FAI; Comment connaitre le constructeur de son routeur?
Par exemple, je suis chez SFR, et mon routeur et un NB6
qui fabrique ça??

C'est une très bonne question ça, un spécialiste pour y répondre ?