Le conte des 1 001 modems DSL

Introduction

Cette article décrit une attaque en masse silencieuse et continue sur des modems DSL qui se déroule au Brésil depuis 2011 et qui repose sur une vulnérabilité de microprogramme, 2 scripts malveillants et 40 serveurs DNS malveillants et qui a touché 6 fabricants de matériel et qui a fait des millions de victimes parmi les internautes brésiliens.

Nous allons expliquer comment les cybercriminels ont exploité une vulnérabilité discrète qui a touché des milliers de modems DSL dépassés dans tout le pays. Cette attaque a pu ainsi atteindre les périphériques réseau de millions d’utilisateurs, chez eux ou au bureau, et propager des programmes malveillants et organiser des redirections vers des sites malveillants au cours de plusieurs mois. La situation a été aggravée par la négligence des fournisseurs d’accès Internet, les erreurs des fabricants de matériel, les lacunes informatiques des utilisateurs et l’apathie des autorités.

Si vous pensez que réparer les dégâts chez les victimes du programme malveillant DNS Changer était un défi, imaginez l’ampleur de la tâche impliquant 4,5 millions de modems compromis par cette attaque, tous sous le ciel bleu du Brésil.

Une vulnérabilité dans un microprogramme

Bien souvent, les périphériques réseau sont les parents pauvres d’une installation : une fois que ces périphériques ont été installés et configurés, la majorité des utilisateurs, qu’il s’agisse de particuliers ou d’entreprises, les ignorent et ne pensent pas à installer les mises à jour de microprogramme fournies par les fabricants. La moindre défaillance peut toucher des milliers d’utilisateurs qui sont attaqués et invités à installer par mégarde des programmes malveillants ou attirés vers des sites de phishing. Comme l’a signalé Marta Janus, les modems DSL sont attaqués par des programmes malveillants différents, souvent développés sous Linux, ou ils sont victimes d’attaque qui exploitent des défaillances CSRF, des mauvaises configurations UNnP et SNMP, voir un dévoiement à la dérobée complexe.

Il est frappant de constater que non seulement les utilisateurs ignorent cette problématique en grande partie, mais que les experts en sécurité eux-même n’y accordent qu’une faible attention. Il est fréquent de voir des rappels sur l’importance d’installer les correctifs de sécurité pour le système d’exploitation, mais rares sont les personnes qui évoquent la nécessité de maintenir à jour le microprogramme d’un modem DSL.

Une vulnérabilité mettant en évidence une faille dans un modem spécifique avait été discrètement signalée en mars 2011. Cette faille permettait un accès à distance au modem DSL. Personne ne sait quand exactement les criminels ont commencé à exploiter cette faille à distance. Elle permet d’organiser une attaque de type Cross Site Request Forgery (CSRF) dans le panneau d’administration du modem DSL. Le mot de passe défini sur le périphérique est dérobé et les attaquants peuvent introduire des modifications, en général dans les serveurs DNS.

Figure 1 : code d’exploitation publié en mars 2011 sur exploit-db.com

Même si le mot de passe du périphérique est robuste, l’attaquant peut exploiter cette faille pour accéder au panneau d’administration, voler le mot de passe, se connecter au périphérique et introduire des modifications.

Figure 2 : accès à distance à un panneau d’administration d’un modem vulnérable.

Il semblerait que le problème ne soit pas lié à un modèle ou à un fabricant en particulier, mais bien au pilote du circuit microprogrammé qui exécute les principales fonctions de l’équipement et qui est acheté par les fabricants de modem pour les produits grande consommation. Tous les périphériques touchés possèdent un circuit microprogrammé Broadcom, dont des modems approuvés par l’Agence nationale des télécommunication du gouvernement brésilien et vendus au Brésil. Il est toutefois intéressant de constater que certains modems équipés du circuit Broadcom sont épargnés. Nous ne disposons pas des données précises sur les versions et le matériel touchés. Cela dépend des informations fournies par les fabricants.

Panneau d’administration d’un modem compromis qui permet la modification du mot de passe.

Deux scripts malveillants

L’attaque était assez simple. Les criminels balayaient Internet à la recherche de modems exposés sur le réseau.

Ils utilisaient deux scripts bash exécutés sur un serveur dédié acheté exclusivement pour cette tâche. Ce script devait balayé et testé une plage d’adresses IP. Chaque fois qu’un modem était détecté, il y a avait une tentative d’exploitation de la faille.




Image 4 : script utilisé dans les attaques

Ensuite, un autre script appelé « roda.sh » était exécuté et l’attaquant accédait au modem. La vulnérabilité dévoile le mot de passe d’administration du modem. Après avoir dérobé le mot de passe, le script accède au panneau d’administration du modem, modifie la configuration du DNS et modifie le mot de passe, ce qui bloque l’accès du propriétaire à son périphérique.




Image 5 : script bash pour exploiter la faille CSRF et modifier les paramètres DNS

Parmi les mots de passe définis par les criminels, nous retrouvons : « dn5ch4ng3 », « ch4ng3dn5 » et d’autres versions.

Pour automatiser l’attaque, les criminels ont défini une large plages d’adresses IP à vérifier :

Image 6 : partie d’une longue liste de plages d’adresses IP à vérifier

6 fabricants de matériel

Des attaques ont été enregistrées sur des modems de 6 fabricants. Cinq d’entre eux étaient largement commercialisés au Brésil et certains de ces modèles figurent parmi les plus vendus.

La situation se complique davantage lorsque l’on sait que même sans la vulnérabilité, de nombreux modems sont distribués avec des mots de passe par défaut connus de tous et les utilisateurs les modifient rarement. Certains modems sont configurés de sorte que les FAI locaux autorisent les comptes d’accès à distance, principalement pour les opérateurs de l’assistance technique, et les criminels connaissent ces informations d’authentification.

De plus, certains fabricants ne réagissent pas même lorsque ces problèmes leur sont signalés. Les utilisateurs sont donc exposés aux attaques car les sociétés ne se pressent pas pour diffuser les mises à jour du microprogramme requises pour résoudre le problème.

Anatel, l’Agence nationale des communications du Brésil, est l’organisme public qui est mandaté pour tester les périphériques de réseau avant de les approuver pour la commercialisation et l’utilisation par les FAI locaux. Toutefois, ces tests portent uniquement sur le fonctionnement du périphérique et ne constituent absolument pas une évaluation des mesures de sécurité. Les FAI peuvent ainsi proposer le modem DSL qu’ils préfèrent, en général des modèles plus anciens et moins chers dont le microprogramme est vulnérable.

Des attaques ont été enregistrées contre tous les grands FAI du Brésil. En moyenne, un FAI important compte entre 3 et 4 millions de clients et l’on sait que certains fournisseurs ont compté près de 50 % de victimes de ces attaques parmi leurs clients.

FAI Clients en 2012
Oi 5,3 million
Net 4,8 million
Telefonica 3,7 million
GVT 1,7 million

Classement des plus grands FAI au Brésil d’après Teleco.com.br

La négligence des fabricants, la négligence des FAI et l’ignorance de l’organisme public officiel sont les conditions parfaites pour que les cybercriminels puissent organiser des attaques à volonté.

40 serveurs DNS malveillants

Pour que l’attaque soit efficace, les cybercriminels au Brésil ont enregistré près de 40 serveurs DNS malveillants auprès de différents services d’hébergement. La quasi-totalité se trouvait hors du Brésil.

Liste affichant 35 serveurs DNS malveillants (ils en ont enregistré 40 pour réaliser les attaques)

Nous avons détecté des attaques au cours desquelles seul le serveur DNS principal du périphérique était modifié tandis que le DNS secondaire du FAI était conservé ou que le DNS public de Google était utilisé. Ainsi, les criminels activaient le DNS principal pour un bref instant chaque jour à des heures précises.

Les attaquants pouvaient ainsi contrôler le trafic et éviter d’éveiller les soupçons sur l’ampleur de l’attaque.

Une fois que le serveur DNS malveillant avait été configuré sur le périphérique, il orientait les victimes vers des serveurs qui exécutaient BIND avec des types de saisie « SOA » et « A » et qui hébergeaient plusieurs domaines affichant des reproductions de sites de banques brésiliennes. D’autres individus malintentionnés ont profité de ces redirections pour installer des programmes malveillants sur les ordinateurs des victimes.

4,5 millions de modems compromis

En mars 2012, CERT Brésil a indiqué que l’attaque avait touché près de 4,5 millions de modems. La situation a poussé les banques, les FAI, les fabricants de matériel et les organismes publics à se réunir pour trouver une solution.

Il ne suffisait pas de signaler simplement les serveurs DNS malveillants utilisés dans l’attaque : les milliers d’utilisateurs touchés allaient simplement inondé les centres d’appels d’assistance technique des entreprises impliquées pour exiger une solution.

Certains fabricants ont alors commencé à diffuser des mises à jour du microprogramme des modems pour régler le problème, surtout sur les modèles les plus utilisés. Les utilisateurs ont commencé à se plaindre auprès des FAI et ont exigé une mise à jour du microprogramme tandis que les banques ont exposé les serveurs DNS malveillants. Malgré tout cela, CERT Brésil a enregistré en mars 2012 quelques 300 000 modems toujours compromis par les attaquants.

Le principal objectif des auteurs des attaques était, comme c’est toujours le cas dans le cybercrime brésilien, de voler les informations d’authentification des utilisateurs de services bancaires par Internet. Ils sont prêts à tout pour atteindre cet objectif : rediriger l’utilisateur vers le faux site d’une banque ou promouvoir l’installation d’un programme malveillant en créant des copies de sites très fréquentés comme Google, Facebook et Orkut.

Trend Micro a publié récemment un billet qui décrit exactement la même attaque, mais les auteurs admettent qu’il leur manque un élément :

« Alors que nous semblons avoir une représentation globale de cette attaque en particulier, il nous manque toujours un élément d’information, ce même élément qui nous avait amené à remarquer ce programme malveillant parmi les millions de données récoltées dans le cadre de notre veille sur les menaces : comment ce programme parvient-il à rediriger les utilisateurs depuis des sites normaux comme Facebook et Google vers son IP malveillante afin de télécharger le programme malveillant. Nous poursuivons l’enquête sur cet incident… »

L’élément manquant dans cet attaque est en fait le modem DSL compromis et les serveurs DNS malveillants configurés sur celui-ci et qui redirigent les victimes lorsqu’elles accèdent à un site populaire et qui proposent d’installer un cheval de Troie via des URL qui semblent légitimes.

Quand il ouvre un site qu’il fréquente souvent comme Facebook, l’utilisateur voit avertissement qui lui propose d’installer un plug-in.

Image 7 : Comportement d’un modem compromis Contenu du message : « Installez dès maintenant la nouvelle app Facebook »

Certaines attaques utilisaient des codes d’exploitation Java récents pour infecter les victimes automatiquement ou lors d’attaques par téléchargement à la dérobée.

Image 8 : Google ou Orkut vous demande d’exécuter un applet Java ? Non, c’est le DNS malveillant configuré dans le modem

Bien sûr, la diffusion de ces codes d’exploitation s’est limitée au Brésil. A titre d’exemple, nous avons vu Exploit.Java.CVE-2010-4452.a, utilisé dans ces attaques en mai 2011. Au cours de la première journée de l’attaque, plus de 800 utilisateurs ont été infectés.

Image 9 : nombre d’ordinateurs infectés par un seul code d’exploitation : tous se trouvent au Brésil

Un des serveurs DNS utilisés dans l’attaque a été réquisitionné par les autorités qui ont pu y accéder. Il contenait les journaux dans lesquels les cybercriminels notaient le nombre de victimes. Un de ces journaux comptait plus de 14 000 victimes

Image 10 : un journal, d’un seul serveur, renseigne 14 000 machines infectées

Conclusion

Que peuvent faire les utilisateurs pour ne pas devenir la prochaine victime d’une telle attaque ? Comme Marta le conseillait dans son article : Les utilisateurs doivent veiller à adopter des mots de passe robustes, vérifier leurs paramètres de sécurité et mettre à jour le microprogramme et toute autre application pertinente à intervalle régulier. Pour l’instant, c’est la seule chose qu’ils peuvent faire. Tout le reste dépend des fabricants : eux seuls peuvent modifier la conception des périphériques.
Kaspersky détecte ce script malveillant sous le nom HackTool.Shell.ChDNS.a.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *