Fin de partie pour un botnet de 20 ans : le FBI frappe un réseau exploitant les failles des routeurs obsolètes.

Une opération internationale contre un réseau cybercriminel

Le FBI, en collaboration avec plusieurs partenaires internationaux, vient de frapper un grand coup contre un réseau informatique malveillant de grande ampleur. Ce réseau, surnommé par certains experts « le botnet des routeurs résidentiels », a été neutralisé après avoir sévi pendant près de 20 ans.

Un botnet discret mais redoutable

Ce botnet exploitait silencieusement les failles de sécurité des box internet et des routeurs domestiques, en particulier ceux considérés comme obsolètes ou en fin de vie.

Ces appareils, souvent non mis à jour, étaient transformés en machines zombies et enrôlés à l’insu de leurs propriétaires dans une armée numérique utilisée pour :

• Lancer des attaques DDoS (déni de service),
• Envoyer du spam en masse,
• Servir de relais (proxy) pour masquer des activités illégales,
• Voler des données personnelles.

Imaginez que votre routeur participe à votre insu à des cyberattaques mondiales !

Pourquoi cibler les vieux routeurs ?

Les cybercriminels visaient en priorité les routeurs anciens et les équipements de petites entreprises, pour une raison simple :

ces appareils ne reçoivent plus de mises à jour de sécurité.

Ils deviennent alors des proies faciles, truffées de vulnérabilités connues mais non corrigées.

Le démantèlement du réseau

Face à la menace, le FBI est passé à l’action.

L’opération, dont certains détails restent confidentiels, a permis de :

• Désactiver les serveurs du botnet,
• Saisir les noms de domaine utilisés,
• Arrêter les opérateurs clés du réseau.

Parmi les appareils ciblés :

• Linksys E1200
• Cisco Valet M10
• Cradlepoint E100
• Linksys WRT310N
  …et plus largement, tout le matériel abandonné par les fabricants avec des failles non corrigées.

Un botnet structuré, lucratif et mondial

Historique et fonctionnement

• Actif depuis 2004, le botnet était accessible sur le Dark Web sous les noms de service 5Socks et Anyproxy.
• Il était loué sous forme d’abonnements mensuels allant de 10 à 110 dollars, générant plus de 46 millions de dollars.
• L'infrastructure s’appuyait sur 5 serveurs:
  • 4 communiquaient via le port 80
  • 1 recevait du trafic UDP sur le port 1443

Le réseau s’étendait grâce à une variante du malware TheMoon, capable de reconfigurer les routeurs à distance pour les transformer en proxies anonymes.

Étendue

• Plus de 7 000 proxys identifiés
• Présents dans 80 pays
• Opéré depuis la Turquie
• 4 individus arrêtés (ressortissants russes et kazakhstanais)

Comment se protéger ?

Cette affaire met en lumière l’importance de la sécurité de notre réseau domestique. Voici quelques conseils essentiels :

1. Remplacez votre routeur s’il est ancien ou plus supporté par son fabricant.
2. Changez immédiatement les identifiants de connexion par défaut de l’interface d’administration.
3. Appliquez les mises à jour du firmware dès qu’elles sont disponibles.
4. Protégez votre réseau Wi-Fi avec un mot de passe robuste.

Des gestes simples, mais essentiels pour éviter que votre routeur ne devienne une porte d’entrée pour les cybercriminels.

En résumé

Le démantèlement de ce botnet est un succès majeur dans la lutte contre la cybercriminalité.

Mais il rappelle surtout que la cybersécurité commence chez nous, par l’entretien et la sécurisation de nos équipements connectés.

Restez vigilants !

ou ceux de petites entreprises, surtout les équipements vieillissants qui ne bénéficiaient plus de mises à jour de sécurité. Ces appareils, truffés de vulnérabilités connues mais non corrigées, devenaient des cibles faciles. Une fois compromis, un routeur rejoignait l'infrastructure du botnet et pouvait être utilisé pour mener des attaques DDoS, diffuser du spam, servir de relais pour masquer des activités illégales ou encore voler des données personnelles. En somme, votre propre routeur pouvait participer, à votre insu, à des cyberattaques à l’échelle mondiale.Face à la menace, le FBI a frappé fort. L’opération, dont les détails restent en partie confidentiels pour des raisons de sécurité, a permis de démanteler une partie majeure de cette infrastructure : serveurs désactivés, noms de domaine saisis, et plusieurs membres du réseau arrêtés. Les appareils principalement visés étaient des modèles abandonnés comme les Linksys E1200, Cisco Valet M10, Cradlepoint E100 ou Linksys WRT310N — mais tous les équipements non mis à jour étaient potentiellement concernés.Le réseau, actif depuis 2004, était commercialisé sur le Dark Web sous les noms « 5Socks » et « Anyproxy ». Il permettait la location de services malveillants moyennant des abonnements mensuels allant de 10 à 110 dollars, pour un revenu total estimé à plus de 46 millions de dollars. L'enquête, qui a duré près d’un an, a permis d’identifier l'infrastructure : 5 serveurs au total, dont 4 communiquaient via le port 80 et un autre en UDP sur le port 1443. Le tout était opéré depuis la Turquie, reposait sur plus de 7 000 proxys répartis dans 80 pays, et s’étendait à l’aide d’une variante du malware TheMoon, capable de transformer à distance les routeurs en relais anonymes.Cette affaire rappelle l’importance cruciale de la sécurité de nos équipements connectés, à commencer par notre routeur. Pour éviter d’être une cible facile, quelques gestes simples peuvent faire toute la différence :

• Remplacez les routeurs anciens ou non supportés par leur fabricant.
• Changez immédiatement les identifiants par défaut de l’interface d’administration.
• Appliquez les mises à jour de firmware dès qu’elles sont disponibles.
• Protégez votre réseau Wi-Fi avec un mot de passe robuste.

La cybersécurité commence à la maison. Restez attentifs, et ne laissez pas votre routeur devenir complice d'une cyberattaque mondiale.

source: www.generation-nt.com