Une menace insidieuse plane sur des milliers de routeurs ASUS, ciblant particulièrement les utilisateurs à domicile et dans les petits bureaux. Des acteurs malveillants, potentiellement soutenus par des États-nations, ont réussi à implanter des portes dérobées résistantes aux redémarrages et aux mises à jour du firmware. Cet article explore les détails de cette campagne sophistiquée et comment protéger vos appareils.
Une menace persistante et silencieuse
Des chercheurs en sécurité ont révélé qu’une campagne ciblée infecte des milliers de routeurs ASUS avec une porte dérobée sophistiquée. Cette dernière permet un contrôle administratif complet, survivant même aux redémarrages et aux mises à jour du firmware, une caractéristique particulièrement inquiétante.
Comment l’attaque se déroule
Les attaquants exploitent des vulnérabilités déjà corrigées, certaines n’ayant jamais été répertoriées dans le système CVE. Après avoir obtenu un accès non autorisé, ils installent une clé de chiffrement publique pour un accès SSH permanent. Cela signifie que quiconque possède la clé privée correspondante peut se connecter à tout moment avec des droits administratifs.
Une campagne en expansion
Près de 9 000 appareils dans le monde ont été compromis à ce jour, et ce nombre ne cesse d’augmenter. Les chercheurs n’ont pas encore observé d’activité malveillante directe, suggérant que cette campagne pourrait être la phase initiale d’une opération plus vaste.
Comment se protéger
Les utilisateurs peuvent vérifier si leur routeur est infecté en inspectant les paramètres SSH dans le panneau de configuration. La présence d’une clé spécifique ou de connexions depuis certaines adresses IP indique une compromission. La suppression de la clé et du port concerné est essentielle pour éliminer la porte dérobée.
