Passer au contenu

Deux botnets tentent de pirater les routeurs D-Link obsolètes

Les routeurs D-Link obsolètes font face à une explosion des cyberattaques. Deux dangereux botnets, spécialisés dans la mise en place d’attaques DDoS, cherchent à prendre le contrôle des routeurs depuis quelques mois.

Les chercheurs en cybersécurité de Fortinet mettent en garde les détenteurs d’un routeur D-Link obsolète ou en fin de vie. Selon les experts, deux redoutables botnets, Ficora et Capsaicin, ont intensifié leurs attaques à l’encontre de ce type d’appareils ces derniers mois. Parmi les principaux routeurs visés, on trouve les références suivantes : DIR-645, DIR-806, GO-RT-AC750 et DIR-845L.

De vieilles failles exploitées par les pirates

Les routeurs obsolètes constituent une aubaine pour les cybercriminels. Privés de mises à jour de sécurité, ils constituent des proies faciles. Dans le cadre de leurs offensives actuelles, les hackers se servent d’ailleurs d’une poignée de vulnérabilités, connues et corrigées, pour arriver à leurs fins. Certaines des failles identifiées datent de 2015, mais les routeurs n’ont jamais obtenu le correctif.

« Bien que les vulnérabilités exploitées lors de cette attaque aient été découvertes et corrigées il y a près de dix ans, ces offensives continuent d’être menées partout dans le monde », explique Fortinet.

Selon les recherches menées par FortiGuard Labs, Ficora est une nouvelle version du botnet Mirai, spécialement conçue pour tirer parti des vulnérabilités des appareils D-Link. Après avoir pénétré le système, Ficora utilise un outil appelé script shell “multi”. Ce script télécharge et installe le reste du logiciel malveillant en utilisant plusieurs outils courant dans l’arsenal des cybercriminels. De son côté, Capsaicin est une nouvelle itération du malware Kaiten, un maliciel qui opère depuis plus d’une décennie. Développé par les pirates du groupe Keksec, il a enchaîné les attaques le 21 et le 22 octobre.

À lire aussi : Plus de 150 000 TV et smartphones compromis – le virus Badbox fait des ravages

Des attaques DDoS comme finalité

Une fois sous l’emprise des pirates, les routeurs compromis sont utilisés pour mener des attaques DDoS. Par le biais des routeurs sous leur coupe, les cybercriminels vont surcharger les serveurs de certains sites web. Cette surcharge va paralyser les sites visés. Bien souvent, les attaques par déni de service sont utilisées par des hacktivistes qui cherchent à faire passer un message politique ou idéologique.

Ficora embarque d’ailleurs une série de fonctionnalités sophistiquées, taillées pour les attaques DDoS. Même son de cloche du côté de Capsaicin, qui se base sur le code d’un virus qui s’est longtemps spécialisé dans les offensives DDoS.

Le botnet Ficora a compromis une montagne de routeurs dans le monde, y compris en Europe et en France, surtout en octobre et novembre 2024. Le Japon et les États-Unis restent les cibles privilégiées du botnet. Plus ciblé, Capsaicin se concentre sur les pays d’Asie de l’Est.

Dans ce contexte, il est important de prendre des mesures fortes en remplaçant tous les routeurs obsolètes. Comme l’explique Fortinet, « il est essentiel pour chaque entreprise de mettre à jour régulièrement le noyau de ses appareils et d’assurer une surveillance constante ». Ces précautions « permettent de limiter le risque d’exploitation des vulnérabilités par des logiciels malveillants ». 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Fortinet


Florian Bayard