Cato Networks, une entreprise spécialisée dans les services de cybersécurité et de mise en réseau, indique avoir découvert un nouveau botnet. Baptisé Ballista, le virus vise spécifiquement un modèle de routeur de la marque TP-Link, à savoir Archer AX21.
Pour prendre le contrôle des routeurs, le botnet exploite une faille de sécurité. Il s’agit d’une vulnérabilité de type injection de commande (command injection). En clair, un attaquant peut se servir de la brèche pour exécuter à distance des commandes sur le routeur, comme s’il était un administrateur. Pour se servir de la vulnérabilité dans le cadre d’une offensive, le pirate doit d’abord pouvoir accéder à l’interface d’administration du routeur.
À lire aussi : Des milliers de smartphones Android pas chers ont été piratés par le malware Triada
6 000 routeurs vulnérables
TP-Link a publié une mise à jour de sécurité début avril 2023, peu après la divulgation publique de la faille. Malheureusement, tous les utilisateurs n’ont pas pris la peine d’installer la mise à jour, ce qui laisse la porte ouverte à des cyberattaques. L’attaque « met en lumière la persistance des failles de sécurité dans les routeurs, souvent dues à l’absence de mises à jour régulières du firmware et au manque de rigueur sécuritaire chez certains constructeurs », explique Cato Networks dans le communiqué adressé à 01Net.
« Les utilisateurs déploient rarement de nouveaux micrologiciels sur leurs routeurs. […] En conséquence, les vulnérabilités du routeur peuvent persister dans la nature beaucoup plus longtemps que prévu initialement, même après la publication des correctifs », ajoute la société israélienne.
Plus de 6 000 routeurs vulnérables ont potentiellement été compromis par Ballista. Parmi les cibles de la campagne, on trouve « des organisations dans les secteurs de la santé, de l’industrie, des services et de la technologie aux États-Unis, en Australie, en Chine et au Mexique ».
Le virus ne cesse d’évoluer et peut désormais passer par le réseau Tor pour masquer ses échanges et échapper à la détection. En passant par Tor (The Onion Router), le malware rend plus difficile de savoir d’où viennent les commandes qu’il reçoit ou où il envoie les données volées. Bref, il met des batons dans les roues des autorités et des enquêteurs.
À lire aussi : Plus de la moitié des cyberattaques « commencent dans votre boîte de réception »
Pirates italiens et attaques DDoS
Aux dires de Cato Networks, il est probable que les cybercriminels à l’origine de l’attaque soient basés en Italie. Les chercheurs ont en effet découvert plusieurs indices en italien dans le code du malware. C’est pourquoi les chercheurs ont baptisé le botnet Ballista. Ce nom fait référence à la Rome antique. Il s’agit en effet d’une arme de type arbalète qui était utilisée par les Romains pour assiéger leurs ennemis.
Une fois qu’un routeur est sous sa coupe, Ballista va s’en servir pour mener des attaques DDoS. En exploitant les appareils qu’il contrôle, le botnet peut momentanément faire planter des sites web. Les offensives DDoS font partie de l’arsenal de nombreux types de gangs, y compris des hacktivistes. La plupart des botnets sont d’ailleurs exploités dans le cadre d’attaques DDoS. C’est aussi le cas de Eleven11bot, qu’on a trouvé au sein de 86 000 objets connectés dans le monde.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cato Networks
