14 000 routeurs sont infectés par un logiciel malveillant extrêmement résistant aux suppressions
Des chercheurs en sécurité ont découvert un nouveau logiciel malveillant qui a infecté environ 14 000 routeurs domestiques et professionnels dans le monde entier, créant un réseau de zombies hautement résistant qui pourrait être utilisé pour mener des attaques par déni de service distribué, voler des données sensibles ou distribuer d’autres logiciels malveillants.
Le logiciel malveillant, que les chercheurs ont nommé TheMoon, est remarquable pour sa capacité à persister même après un redémarrage du routeur et pour sa résistance aux tentatives de suppression. Une fois qu’il a infecté un routeur, TheMoon se connecte à un serveur de commande et de contrôle qui fournit des instructions supplémentaires. Le logiciel malveillant peut également se propager latéralement à d’autres appareils sur le même réseau.
TheMoon cible une vulnérabilité non corrigée dans certains modèles de routeurs qui permet aux attaquants d’exécuter du code arbitraire à distance. Les chercheurs ont observé que le logiciel malveillant exploite également des identifiants par défaut faibles ou des mots de passe facilement devinables pour accéder aux appareils.
Une fois installé, TheMoon télécharge des composants supplémentaires qui lui permettent de fonctionner comme un proxy pour cacher l’identité des attaquants, de mener des attaques DDoS, ou de faciliter d’autres activités malveillantes. Le logiciel malveillant est également conçu pour se mettre à jour automatiquement, ce qui rend difficile pour les défenseurs de suivre son évolution.
Les chercheurs ont constaté que les infections sont concentrées dans plusieurs pays, avec des clusters importants en Asie et en Europe. La nature décentralisée du réseau de zombies et ses multiples serveurs de commande et de contrôle le rendent particulièrement difficile à démanteler.
Pour se protéger contre ce type de menace, les experts recommandent aux utilisateurs de routeurs de changer les mots de passe par défaut, de maintenir le firmware à jour, de désactiver la gestion à distance si elle n’est pas nécessaire, et d’utiliser des mots de passe forts et uniques pour tous les appareils réseau.
Les entreprises de sécurité travaillent activement à identifier et à nettoyer les appareils infectés, mais la nature persistante de TheMoon rend cette tâche particulièrement difficile. Les propriétaires de routeurs concernés sont encouragés à effectuer une réinitialisation d’usine complète et à reconfigurer leurs appareils avec des paramètres de sécurité appropriés.
