Présentation du risque
Le gouvernement fédéral américain avertit les utilisateurs de routeurs pour les foyers et les petites entreprises de sécuriser leurs appareils, car les hackers d'État russes continuent de compromettre massivement ces dispositifs pour les utiliser dans des actions néfastes contre des organisations sensibles du secteur public et privé.
Fonctionnement de l'attaque
Les hackers russes utilisent principalement des scans d'adresses IP avec des agents Simple Network Management Protocol (SNMP) actifs qui acceptent des informations d'authentification communes ou par défaut. Ces scans sont effectués par les botnets de routeurs que les acteurs tentent d'enrôler dans le dispositif ciblé. En envoyant du trafic malveillant à partir d'adresses falsifiées, les hackers peuvent utiliser l'agent SNMP sur les routeurs mal configurés pour exécuter des logiciels malveillants.
Implications et limites
Les actions entreprises à ce jour pour lutter contre ces menaces sont peu plus que des exercices de « whack-a-mole », car les opérateurs remplacent simplement leurs botnets par de nouveaux. Les gouvernements du monde entier, y compris l'Australie, le Danemark, la Nouvelle-Zélande et le Royaume-Uni, ont co-édité l'avis pour sensibiliser les utilisateurs à ces risques. Les groupes de hackers sont suivis sous divers noms, notamment Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard et Static Tundra.
Analyse technique
Le protocole SNMP permet aux utilisateurs de collecter et d'organiser des informations sur les dispositifs de réseau gérés ou de modifier ces informations pour changer le comportement du dispositif. Les hackers exploitent les vulnérabilités de ce protocole pour compromettre les routeurs. Pour se protéger, les utilisateurs doivent configurer correctement leurs routeurs et mettre à jour leurs logiciels pour éviter les compromis.
SNMP permet aux utilisateurs de collecter et d'organiser des informations sur les dispositifs de réseau gérés