Pour gérer vos consentements :

Sécurité IT : les menaces s’implantent sur les routeurs

Nom : SYNful Knock. Nature : malware. Particularité : s’implante sur des routeurs Cisco.

Les équipes de FireEye attirent l’attention sur cette menace que l’on croyait encore très largement « théorique »… mais qui sévirait au bas mot depuis un an, avec des dégâts quant à eux bien concrets.

Une quinzaine de variantes de SYNful Knock ont été identifiées, dans quatre pays : l’Inde, le Mexique, l’Ukraine et les Philippines. Elles consistent systématiquement en une modification du firmware des routeurs affectés (modèles Cisco 1841, 2811, 3825 et probablement d’autres au vu de la similitude de leur code).

S’ils ne bénéficient pas d’un accès physique aux équipements visés, les cybercriminels qui souhaitent déployer cet implant doivent trouver un moyen de s’authentifier à distance. Dans de nombreux cas, il suffit de saisir le mot de passe par défaut…

Résistant aux redémarrages, SYNful Knock s’initialise vraisemblablement à travers une fonction associée à la planification de tâches. Pourquoi celle-ci plutôt qu’une autre ? Parce qu’elle est chargée très tôt dans la séquence d’amorçage. Les pirates n’ont qu’à modifier l’adresse cible d’un appel de fonction pour lancer le malware.

Une fois installé, SYNful Knock peut être mis à jour. Et il utilise un format non standard de paquets TCP pour compliquer sa détection. Mais sa véritable puissance réside dans la possibilité d’exploiter une centaine de modules complémentaires.

Pour faciliter leur mise en service, le malware passe tous les échanges de données en lecture-écriture. Une force, mais aussi une faiblesse : les deux octets modifiés à cette occasion font disparaître la valeur RO, pour « Read-Only » ; bilan, si sur un routeur Cisco, la commande show platform | include RO, Valid ne retourne aucun résultat, il faut redoute une infection.

Pas indétectable

Un autre indice peut se trouver dans les logs, bien que SYNful Knock ne les modifie pas en priorité.

Petite explication : pour ne pas éveiller les soupçons, le malware s’assure que la taille du firmware IOS soit toujours la même. Dans cette optique, il réécrit d’abord plusieurs fonctions avec son propre code exécutable. Mais dans certains cas, pour des déploiements complexes, il faut modifier autre chose pour ne pas en arriver à perturber le fonctionnement des routeurs.

Ce qui peut laisser apparaître des éléments comme l’adresse du serveur de commande (C&C) associé au malware. Sur ce dernier point, la connexion ne s’effectue que si des conditions spécifiques sont remplies dans les en-têtes et le contenu des paquets IP. Les vérifications sont effectuées indépendamment des filtres éventuellement mis en place sur le routeur.

Il existe une troisième solution pour détecter SYNful Knock : réaliser un « instantané » du firmware IOS. Les modules complémentaires s’exécutant en mémoire volatile, ils seront repérables – on précisera que chacun d’entre eux est activé et désactivé par l’envoi de paquets spécifiques.

Ce type de malware, qui permet par ailleurs d’ouvrir une backdoor d’administration accessible via Telnet ou bien via la console du routeur, devrait gagner en popularité, selon les experts de FireEye. Lesquels considèrent toutefois que dans l’état actuel, peu de pays disposent de telles capacités d’attaque sur des équipements réseau : les États-Unis, la Chine, la Russie, Israël et le Royaume-Uni.

Crédit photo : asharkyu – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago