Un cheval de Troie vise les routeurs des salariés en télétravail

Depuis le début de la crise sanitaire, le nombre de salariés en télétravail a fortement augmenté, et avec lui les cyber-menaces visant spécifiquement ces employés pour atteindre les réseaux de leurs entreprises.

Le Black Lotus Labs de Lumen vient ainsi de publier l’analyse de ZuoRAT, un cheval de Troie, actif depuis près de deux ans (découvert mi-2020), ciblant les routeurs des salariés en télétravail, en Amérique du Nord et en Europe.

« Les campagnes malveillantes visant les routeurs constituent une menace sérieuse pour les entreprises, car les routeurs se trouvent en dehors du périmètre de sécurité conventionnel et présentent souvent des faiblesses qui rendent leur compromission relativement simple à réaliser », explique Mark Dehus, directeur des renseignements sur les menaces pour le Black Lotus Labs de Lumen.

Dans le détail, ZuoRAT s’attaque aux routeurs SOHO (notamment de marques ASUS, Cisco, DrayTek et Netgear), puis installe un loader pour Windows en C++, et enfin un agent de prise de contrôle de la machine (trois différents ont déjà été repérés : CBeacon, GoBeacon et Cobalt Strike).

« Les tactiques, techniques et procédures que les analystes ont observées sont très sophistiquées et portent les marques de ce qui est probablement un acteur affilié à un État-nation », pointe Lumen, qui a formellement identifié 80 victimes du ZuoRAT.

La société indique également que « ce niveau de sophistication amène à penser que cette campagne pourrait ne pas être limitée au petit nombre de victimes observées. Pour atténuer la menace, les entreprises doivent s’assurer que la planification des correctifs inclut les routeurs ».