Une faille dans un firmware, deux scripts malveillants, six fabricants de matériels, 40 serveurs DNS corrompus des milliers de modems ADSL compromis, des millions de victimes. » Comme le reconnaît lui-même Fabio Assolini, expert en sécurité auprès de Kaspersky, cela pourrait presque passer pour le script d’un scénario hollywoodien. Au lieu de cela, c’est la description des ingrédients de base d’une attaque menée au Brésil depuis 2011. Ou comment des « cybercriminels ont utilisé une vulnérabilité connue mais non corrigée qui a affecté des milliers de modems DSL », peut-on lire sur son blog officiel.
Faille connue mais pas corrigée
Si nos box nous évitent en partie ce problème, on pense souvent à sécuriser son PC, à le mettre à jour, mais rarement à vérifier que son modem/routeur est à jour. Et Fabio Assolini de reconnaître qu’il est difficile de blâmer les utilisateurs puisque la « communauté des spécialistes elle-même y prête peu attention ». C’est ainsi que 4,5 millions de modems brésiliens ont été attaqués et compromis grâce à une faille peu connue, découverte en mars 2011.
Cette « vulnérabilité », liée au pilote d’une puce et non à un modèle de box, permettait notamment de récupérer le mot de passe du modem – même si celui-ci était « fort » et avait été changé. Il était alors facile pour le pirate d’en modifier les réglages, notamment au niveau des paramètres des serveurs DNS, l’annuaire qui dit à l’ordinateur quel nom de domaine correspond à quelle adresse IP.
Deux scripts et des millions de modems
Les pirates se servaient de deux scripts, hébergés sur un serveur dédié. Le premier parcourait une liste d’adresses IP et repérait si un modem était présent. Si oui, le second script entrait en lice pour prendre le contrôle du boîtier, changeant les DNS et le mot de passe.
L’affaire prend une autre dimension quand on apprend que cinq des six modèles de modems attaqués sont extrêmement populaires au Brésil. A tel point que selon Fabio Assolini, environ la moitié des quatre grands fournisseurs d’accès brésiliens ont été victimes de cette attaque. Si on se réfère aux derniers chiffres officiels fournis par Teleco, un regroupement de FAI brésiliens, les quatre plus gros FAI représentent 15,8 millions d’abonnés haut débit à eux seuls. Ce qui fait que les 4,5 millions de modems corrompus représentent, tout de même, un gros tiers de ce total.
Des serveurs DNS pirates
Puisque les cybercriminels ont changé les DNS des modems hackés, il leur a fallu mettre en place une quarantaine de serveurs DNS maîtrisés par leur soin. Mais, avec une certaine habileté, ces derniers ne changeaient que le primary server du modem, laissant un serveur DNS « propre » pour le second et n’activant le premier que quelques heures par jour. Un moyen d’être moins détectable.
D’ailleurs, en mars 2012, lorsque le CERT brésilien annonçait que 4,5 millions de modems avaient été corrompus et incitaient les différents acteurs concernés (FAI, fabricants, etc.) à proposer des mises à jour, ils ne faisaient pas état des serveurs DNS, passés inaperçus.
Malgré la prise de conscience du danger encouru, fin mars 2012, 300 000 modems étaient toujours victimes de cette faille.
Tout ça pour ça?
Ce déploiement d’ingéniosité, qui n’est pas sans rappeler l’affaire DNS Changer, avait évidemment pour but de gagner de l’argent. Les pirates faisaient ainsi en sorte que les utilisateurs des modems corrompus se retrouvent sur des copies de sites officiels où on leur demandait d’installer des extensions, des plug in, pour assurer leur sécurité, notamment.
En fait de plug in, l’utilisateur – qui n’avait aucune raison de douter du site sur lequel il se trouvait puisque l’URL était la bonne – installait un cheval de Troie. Dès lors, il était simple de voler des informations personnelles ou d’inciter les utilisateurs à saisir leurs données. En revanche, ce que Fabio Assolini ne dit pas dans le post de son blog et qu’il semble avoir gardé pour la bonne bouche lors d’une conférence au cours de laquelle il a abordé le sujet, c’est la finalité de l’argent gagné.
Ainsi, lors de la conférence Virus Bulletin, Fabio Assolini aurait produit une capture d’écran d’une session de chat IRC dans lequel s’exprimait un des hackers, à en croire Graham Cluley, expert sécurité auprès de Sophos qui était présent. On pouvait y lire que le pirate entendait dépenser les quelque 100 000 reals (environ 38 000 euros) qu’il avait gagnés lors d’un séjour à Rio de Janeiro qu’il planifiait de passer en compagnie de prostituées…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
