Sécurité IT : les menaces s’implantent sur les routeurs

Nom : SYNful Knock. Nature : malware. Particularité : s’implante sur des routeurs Cisco.

Les équipes de FireEye attirent l’attention sur cette menace que l’on croyait encore très largement « théorique »… mais qui sévirait au bas mot depuis un an, avec des dégâts quant à eux bien concrets.

Une quinzaine de variantes de SYNful Knock ont été identifiées, dans quatre pays : l’Inde, le Mexique, l’Ukraine et les Philippines. Elles consistent systématiquement en une modification du firmware des routeurs affectés (modèles Cisco 1841, 2811, 3825 et probablement d’autres au vu de la similitude de leur code).

S’ils ne bénéficient pas d’un accès physique aux équipements visés, les cybercriminels qui souhaitent déployer cet implant doivent trouver un moyen de s’authentifier à distance. Dans de nombreux cas, il suffit de saisir le mot de passe par défaut…

Résistant aux redémarrages, SYNful Knock s’initialise vraisemblablement à travers une fonction associée à la planification de tâches. Pourquoi celle-ci plutôt qu’une autre ? Parce qu’elle est chargée très tôt dans la séquence d’amorçage. Les pirates n’ont qu’à modifier l’adresse cible d’un appel de fonction pour lancer le malware.

Une fois installé, SYNful Knock peut être mis à jour. Et il utilise un format non standard de paquets TCP pour compliquer sa détection. Mais sa véritable puissance réside dans la possibilité d’exploiter une centaine de modules complémentaires.

Pour faciliter leur mise en service, le malware passe tous les échanges de données en lecture-écriture. Une force, mais aussi une faiblesse : les deux octets modifiés à cette occasion font disparaître la valeur RO, pour « Read-Only » ; bilan, si sur un routeur Cisco, la commande show platform | include RO, Valid ne retourne aucun résultat, il faut redoute une infection.

Pas indétectable

Un autre indice peut se trouver dans les logs, bien que SYNful Knock ne les modifie pas en priorité.

Petite explication : pour ne pas éveiller les soupçons, le malware s’assure que la taille du firmware IOS soit toujours la même. Dans cette optique, il réécrit d’abord plusieurs fonctions avec son propre code exécutable. Mais dans certains cas, pour des déploiements complexes, il faut modifier autre chose pour ne pas en arriver à perturber le fonctionnement des routeurs.

Ce qui peut laisser apparaître des éléments comme l’adresse du serveur de commande (C&C) associé au malware. Sur ce dernier point, la connexion ne s’effectue que si des conditions spécifiques sont remplies dans les en-têtes et le contenu des paquets IP. Les vérifications sont effectuées indépendamment des filtres éventuellement mis en place sur le routeur.

Il existe une troisième solution pour détecter SYNful Knock : réaliser un « instantané » du firmware IOS. Les modules complémentaires s’exécutant en mémoire volatile, ils seront repérables – on précisera que chacun d’entre eux est activé et désactivé par l’envoi de paquets spécifiques.

Ce type de malware, qui permet par ailleurs d’ouvrir une backdoor d’administration accessible via Telnet ou bien via la console du routeur, devrait gagner en popularité, selon les experts de FireEye. Lesquels considèrent toutefois que dans l’état actuel, peu de pays disposent de telles capacités d’attaque sur des équipements réseau : les États-Unis, la Chine, la Russie, Israël et le Royaume-Uni.

Crédit photo : asharkyu – Shutterstock.com

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

35 minutes ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago