Authors : Alterway

title: link: http://blog.alterway.fr/2015/06/un-ver-sattaque-aux-routeurs-linuxmoose/ author: alain.deleglise description: post_id: 855 created: 2015/06/05 16:18:52 created_gmt: 2015/06/05 15:18:52 comment_status: open post_name: un-ver-sattaque-aux-routeurs-linuxmoose status: publish post_type: post

Un ver s'attaque aux routeurs : Linux/MOOSE

La société ESET a publié récemment une étude de la menace Linux/MOOSE qui est qualifiée de « ver pour routeur Linux, gourmand en réseaux sociaux » (Linux Router-based Worm Hungry for Social Networks). Les plates-formes impactées sont MIPS et ARM. Les points clés qui caractérisent cette menace :

• Linux/MOOSE s'attaque aux routeurs des utilisateurs, notamment ceux fournis par leur F.A.I. et aux routeurs des entreprises ;
• Il est conçu pour s'infiltrer profondément dans les réseaux, au travers des pare-feux ;
• Il peut espionner les communications depuis et vers les périphériques connectés aux routeurs infectés, comme les ordinateurs de bureau, les ordinateurs portables et les smartphones ;
• Linux/MOOSE exécute un service proxy (SOCKS et HTTP) accessible uniquement par une liste d'adresses IP spécifiques, appartenant aux opérateurs de celui-ci  ;
• Les opérateurs de ce ver utilisent les périphériques infectés pour mener des fraudes aux réseaux sociaux tel que Twitter, Facebook, Instagram, Youtube etc... ;
• Linux/MOOSE peut être configuré par ses opérateurs pour re-router du trafic DNS, leur permettant ainsi de mener des attaques de type Man-In-The-Middle ;
• Il affecte les routeurs exécutant Linux sur plate-forme MIPS et ARM, dont les identifiants sont faibles face aux attaques brute-force. Les capacités de Linux/MOOSE sont, entre autres :
• Sa réplication par Internet et via les interfaces LAN des routeurs, même derrière un pare-feu, infectant ainsi un nombre croissant d'équipements réseaux ;
• Un service en écoute sur le port 10073 permettant à une liste spécifique d'adresses IP de rediriger vers le proxy des opérateurs, en SOCKS ou en HTTPS/HTTPS, les flux sortants des routeurs infectés ;
• Faire passer le trafic réseau au travers d'un tunnel, depuis son serveur C&C (Command and Control) vers d'autres hôtes, permettant ainsi le contournement des NAT ;
• L'espionnage des communications réseaux et l'envoi d'une partie du trafic capturé vers un serveur C&C ;

• La « destruction » periodique des éventuels processus de malware connus et  déjà présents sur les équipements infectés. Le fait intéressant mis au jour par ESET, est-que ce ver ne s'appuie sur aucune backdoor ou faille de sécurité connue, mais se contente d'exploiter les équipements dont les mots de passe sont trop faibles, voire toujours ceux par défaut mis en place par le constructeur du routeur. FireEye a mené une étude montrant que l'attaque par brute-force reste dans le top 10 des méthodes les plus efficaces pour infecter un réseau. Linux/MOOSE exploite donc plus une faille humaine que technique. En cherchant le but précis de Linux/MOOSE,  les ingénieurs de ESET en sont arrivés à la conclusion qu'il permet principalement de réaliser des fraudes aux réseaux sociaux. Par exemple l'ajout de "like" ou de "followers" à des comptes frauduleux. Ceci est rendu possible en capturant les cookies spécifiques des réseaux les plus populaires, puis en se servant des informations qu'ils contiennent :

• Twitter: twll,twid ;

• Facebook: c_user ;
• Instagram: ds_user_id ;
• Google: SAPISID, APISID ;
• Google Play / Android: LAY_ACTIVE_ACCOUNT ;

• Youtube: LOGIN_INFO. Voici le schéma de ESET représentant le fonctionnement simplifié de ce ver : Une étude menée par Rapid7 montre qu'environ 50000 équipements sont déjà infectés au niveau mondial. Il est probable que bien plus d'équipements soient concernés. Les constructeurs dont les équipements ont été infectés sont : Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL, Zhone. D'autres constructeurs sont en cours de confirmation d'infection. Cette menace est donc à prendre au sérieux. Conclusion :

• Prenez garde à toujours changer les mots de passe par défaut des routeurs par un mot de passe fort (au moins 8 caractères alpha-numériques) ;

• Pour les administrateurs réseaux, si vous observez du trafic anormal sur le port 10073, il est probable qu'un de vos équipements est infecté ;
• Et bien sur, méfiez-vous des comptes Twitter qui ont beaucoup de followers et très peu de contenu posté sur leur compte. Source : http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf