Démantèlement d’un vaste réseau de botnets exploitant des routeurs obsolètes

La Justice américaine a annoncé le démantèlement d’un vaste botnet et rendu publique la mise en accusation de quatre pirates informatiques pour conspiration et crimes informatiques.

Trois ressortissants russes, Alexey Viktorovich Chertkov (37 ans), Kirill Vladimirovich Morozov (41 ans), Aleksandr Aleksandrovich Shishkin (36 ans), ainsi qu’un ressortissant kazakh, Dmitriy Rubtsov (38 ans), sont accusés d’avoir conspiré pour maintenir, exploiter et tirer profit de services de botnet connus sous les noms d’Anyproxy et 5socks dans le cadre d’une opération internationale baptisée « Operation Moonlander ».

Selon l’acte d’accusation, ce réseau visait spécifiquement des routeurs en fin de vie ne recevant plus de mises à jour de sécurité de leurs fabricants. Le FBI a identifié plusieurs modèles particulièrement vulnérables, notamment les Linksys E1200, E2500, E1000, E4200 et plusieurs modèles Cisco. Ces appareils étaient infectés par une variante du maliciel « TheMoon », permettant aux cybercriminels de les transformer en serveurs mandataires à l’insu de leurs propriétaires. 

Ce maliciel, détecté pour la première fois en 2014, est déployé en exploitant des vulnérabilités non corrigées affectant les équipements réseau concernés, afin de les connecter à des serveurs de commande et contrôle (C2).

Le site 5socks.net proposait plus de 7 000 proxys à la vente dans le monde, avec des abonnements mensuels allant de 9,95 à 110 dollars. Opérationnel depuis 2004 comme l’indiquait son slogan « En service depuis 2004 ! », ce réseau aurait généré plus de 46 millions de dollars en vendant l’accès aux routeurs infectés. 

Ces serveurs mandataires étaient utilisés par des acteurs malveillants pour dissimuler leur identité lors d’activités criminelles, notamment le vol de cryptomonnaies et d’autres opérations illégales. Et cela en profitant d’adresses IP résidentielles, moins susceptibles de figurer sur des listes de filtrage que d’autres.

Le FBI a également alerté que des acteurs soutenus par l’État chinois ont exploité ces vulnérabilités pour mener des campagnes d’espionnage visant des infrastructures critiques américaines.

Parmi les signes de compromission, on compte notamment des perturbations de connectivité réseau, une surchauffe des appareils, une dégradation des performances, des modifications de configuration non autorisées, l’apparition d’utilisateurs administrateurs inconnus et un trafic réseau inhabituel. 

Les autorités américaines recommandent vivement de remplacer les routeurs en fin de vie par des modèles plus récents et activement supportés. À défaut, il est conseillé d’appliquer les dernières mises à jour de firmware disponibles, de modifier les identifiants administrateur par défaut et de désactiver les interfaces d’administration à distance.

Suite à cette enquête menée par la Cyber Task Force du FBI d’Oklahoma City, les autorités ont saisi les noms de domaine Anyproxy.net et 5socks.net dans le cadre d’une opération conjointe avec plusieurs juridictions internationales, notamment la police nationale néerlandaise et la police royale thaïlandaise.