Une nouvelle campagne de logiciels malveillants, connue sous le nom de "Hiatus", cible les routeurs des petites entreprises pour voler des données et espionner les victimes.
La nouvelle campagne de logiciels malveillants "Hiatus" attaque les routeurs d'entreprise
Une nouvelle campagne de logiciels malveillants, baptisée "Hiatus", cible les routeurs des petites entreprises utilisant le logiciel malveillant HiatiusRAT.
Le 6 mars 2023, la société de recherche Lumen a publié un article de blog sur cette campagne malveillante. Dans le Article de blog Lumen, il a été déclaré que "Lumen Black Lotus Labs® a identifié une autre campagne inédite impliquant des routeurs compromis".
HiatusRAT est un type de logiciel malveillant connu sous le nom de Cheval de Troie d'accès à distance (RAT). Les chevaux de Troie d'accès à distance sont utilisés par les cybercriminels pour accéder à distance et contrôler un appareil ciblé. La version la plus récente du malware HiatusRAT semble être utilisée depuis juillet 2022.
Dans le billet du blog Lumen, il a également été déclaré que "HiatusRAT permet à l'acteur de la menace d'interagir à distance avec le système, et il utilise des fonctionnalités prédéfinies - dont certaines sont très inhabituelles - pour convertir la machine compromise en un proxy secret pour le acteur de la menace."
Utilisation de l'utilitaire de ligne de commande "tcpdump", HiatusRAT peut intercepter le trafic réseau passant sur le routeur ciblé, permettant le vol de données. Lumen a également émis l'hypothèse que les opérateurs malveillants impliqués dans cette attaque visent à mettre en place un réseau proxy secret via l'attaque.
HiatusRAT cible des types de routeurs spécifiques
Le logiciel malveillant HiatusRAT est utilisé pour attaquer les routeurs VPN DrayTek Vigor en fin de vie, en particulier les modèles 2690 et 3900 exécutant une architecture i386. Ce sont des routeurs à large bande passante utilisés par les entreprises pour offrir une prise en charge VPN aux travailleurs distants.
Ces modèles de routeur sont couramment utilisés par les propriétaires de petites et moyennes entreprises, qui risquent particulièrement d'être ciblés dans cette campagne. Les chercheurs ne savent pas comment ces routeurs DrayTek Vigor ont été infiltrés au moment de la rédaction.
Plus de 4 000 machines se sont révélées vulnérables à cette campagne de logiciels malveillants à la mi-février, ce qui signifie que de nombreuses entreprises sont toujours exposées au risque d'attaque.
Les attaquants ne ciblent que quelques routeurs DrayTek
De tous les routeurs DrayTek 2690 et 3900 connectés à Internet aujourd'hui, Lumen a signalé un taux d'infection de seulement 2 %.
Cela indique que les opérateurs malveillants tentent de maintenir leur empreinte numérique au minimum pour limiter l'exposition et échapper à la détection. Lumen a également suggéré dans le billet de blog susmentionné que cette tactique est également utilisée par les attaquants pour "maintenir des points de présence critiques".
HiatusRAT pose un risque permanent
Au moment de la rédaction de cet article, HiatusRAT présente un risque pour de nombreuses petites entreprises, des milliers de routeurs étant toujours exposés à ce logiciel malveillant. Le temps nous dira combien de routeurs DrayTek sont ciblés avec succès dans cette campagne malveillante.
