Les agences américaines NSA, FBI, et CISA viennent de publier une alerte commune sur des groupes de hackers chinois qui ont en ligne de mire des opérateurs, dans le but d’intercepter, ou manipuler les flux des réseaux. La note de sécurité ne donne pas le nom des opérateurs piratés, mais elle décrit leur mode opératoire. Ces attaques s’appuient avant tout sur des failles connues dans les routeurs que les administrateurs n’ont pas mis à jour. Parmi les marques ciblées figurent notamment Cisco, Fortinet, MikroTik, Netgear, et Zyxel.
La procédure est particulièrement huilée. Dans un premier temps, les hackers utilisent les outils open source RouterSploit et RouterScan pour identifier les équipements vulnérables. Une fois qu’ils ont pris pied dans l’un de ces appareils, ils essaient de trouver et compromettre un serveur d’authentification Radius, ce qui leur permet d’accéder à des mots de passe de comptes d’administrateurs. Et là, c’est le jackpot.
Le but: attaquer des cibles dans le monde entier
Grâce à ces codes secrets, les hackers chinois se connectent sur les autres routeurs par l’intermédiaire du logiciel SSH (Secure Shell) et siphonnent à grande échelle leurs configurations techniques. Ce qui leur permet d’avoir une connaissance approfondie du réseau de l’opérateur et, par la suite, de manipuler le trafic. Pour cela, il leur suffit en effet de se reconnecter sur les routeurs et d’exécuter des commandes de configuration.
En procédant ainsi, les hackers chinois arrivent à se doter d’un « vaste réseau d’infrastructures compromises » avec lequel ils peuvent « exploiter une grande variété de cibles dans le monde entier », explique l’alerte américaine. Pour éviter de se faire avoir, il suffit que les administrateurs mettent systématiquement à jour leurs équipements réseau. Ce qui est évidemment plus simple à dire qu’à faire, étant donné la taille parfois très importante des parcs à gérer.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : NSA