Les chercheurs de chez GreyNoise viennent de documenter une attaque d'ampleur, qui cible des routeurs de la marque Asus (RT-AC3100, RT-AC3200, RT-AX55). Le malware, qui touche selon eux environ 9 000 appareils dans le monde, est particulièrement résistant et survit par exemple à une mise à jour de firmware.
L'attaque a été détectée par les outils de la société, qui reposent sur de l'IA. Ensuite, mi-mars 2025, les développeurs de GreyNoise ont pris le relais pour comprendre le fonctionnement du malware. Selon eux, il sert dans ce que l'on appelle un botnet, c'est-à-dire un réseau d'appareils compromis. Les malandrins peuvent les utiliser pour des attaques de type DDOS (déni de service), par exemple.
L'analyse technique est intéressante, car le malware s'incruste littéralement dans le système du routeur. La première partie de l'attaque consiste à se connecter à distance sur un routeur de la marque, avec des mécanismes d'attaques en force brute (ce qui consiste à tester toutes les possibilités) et l'usage d'une astuce pour éviter la double authentification. Une fois l'accès obtenu, le malware active un accès SSH et coupe l'enregistrement des journaux dans le routeur, pour se cacher. L'accès SSH lui-même est parfaitement légitime, car il est activé grâce à une faille dans les routeurs Asus. Une fois l'accès ouvert, il est persistant et le malware peut être effacé.
Si Asus a depuis corrigé les failles employées par le malware, la mise à jour de firmware n'a pas d'impact sur les appareils déjà compromis. En effet, l'accès SSH ouvert est considéré comme légitime et la clé stockée dans une zone qui n'est pas effacée lors d'une mise à jour de firmware (NVRAM), ce qui est logique : effacer cette mémoire remettrait tous les paramètres à zéro. Le seul moyen de se débarrasser du malware consiste donc à effectuer une remise à zéro totale en effaçant les paramètres, avant d'effectuer la mise à jour.
Dans tous les cas, l'attaque est très élaborée et (surtout) très persistante : l'obligation de remettre à zéro totalement les routeurs est un problème dans certains cas. Et elle est aussi difficile à détecter, étant donné que le malware lui-même disparaît. Il est tout de même possible de vérifier l'accès à certaines adresses, données par GreyNoise.
Source :
