Les chercheurs ont déclaré que des cybercriminels et des espions travaillant pour des États-nations coexistent subrepticement à l’intérieur de routeurs de marque compromis, utilisant ces appareils pour dissimuler des attaques motivées à la fois par un gain financier et par de l’espionnage stratégique. Dans certains cas, cette coexistence est pacifique, car des pirates motivés par l’argent fournissent aux espions un accès aux routeurs déjà compromis en échange d’une rémunération, ont rapporté les chercheurs de la société de sécurité Trend Micro mercredi. Dans d’autres cas, des pirates travaillant au sein de groupes de menaces persistantes avancées soutenus par des États-nations prennent le contrôle de dispositifs précédemment piratés par des groupes de cybercriminels. Parfois, les dispositifs sont compromis indépendamment à plusieurs reprises par différents groupes. Le résultat est une véritable foire d’empoigne à l’intérieur des routeurs et, dans une moindre mesure, des dispositifs VPN et des serveurs privés virtuels fournis par des sociétés d’hébergement. « Les cybercriminels et les acteurs des menaces persistantes avancées (APT) partagent un intérêt commun pour les couches d’anonymisation de proxy et les nœuds de réseau privé virtuel (VPN) afin de masquer leurs traces et rendre la détection des activités malveillantes plus difficile », ont écrit les chercheurs de Trend Micro, Feike Hacquebord et Fernando Merces. « Cet intérêt commun se traduit par un trafic internet malveillant mélangeant les mobiles financiers et d’espionnage. » Les pirates russes ont pris le contrôle après que les dispositifs étaient déjà infectés par Moobot, un logiciel malveillant de botnet utilisé par des acteurs menaçants motivés financièrement non affiliés au gouvernement russe. Ces acteurs de menace ont installé Moobot après avoir exploité en premier lieu les identifiants administrateurs par défaut connus publiquement et qui n’avaient pas été supprimés des dispositifs par leurs propriétaires. Les pirates russes, également connus sous divers noms tels que Pawn Storm, APT28, Forest Blizzard, Sofacy et Sednit, ont ensuite exploité une vulnérabilité dans le logiciel malveillant Moobot pour installer des scripts personnalisés et des logiciels malveillants transformant le botnet en une plateforme mondiale d’espionnage cybernétique.
Menu
