Une campagne de cyberattaque d’ampleur inédite frappe actuellement les routeurs ASUS, avec près de 9 000 appareils compromis selon GreyNoise.

Votre routeur Asus fonctionnent tranquillement dans son coin, votre connexion Internet fonctionne parfaitement, et pourtant… vous pourriez faire partie des 9 000 utilisateurs dont l’appareil a été secrètement compromis. Une cyberattaque frappe actuellement ces routeurs, et le plus inquiétant ? Elle reste totalement invisible.

Cette découverte de GreyNoise, entreprise spécialisée en cybersécurité, révèle une campagne de piratage particulièrement efficace. Les cybercriminels ont réussi à infiltrer des milliers de routeurs sans laisser la moindre trace suspecte. Pas de ralentissement, pas de dysfonctionnement, rien qui puisse alerter les propriétaires.

L’art de l’intrusion invisible

Pour comprendre cette attaque, il faut s’intéresser à sa mécanique particulièrement ingénieuse. Les pirates ne procèdent pas comme dans les films : pas de codes qui défilent sur écran noir, mais une approche méthodique et patiente.

Tout commence par une phase de reconnaissance. Les attaquants testent différentes combinaisons de mots de passe pour forcer l’accès aux routeurs, en utilisant des techniques d’évasion encore inconnues des experts en sécurité. Une fois cette première porte franchie, ils exploitent une faille référencée CVE-2023-39780, qui leur permet de prendre le contrôle total de l’appareil.

Mais voici où l’opération devient vraiment avancée : au lieu d’installer un virus classique que les antivirus pourraient détecter, ils optent pour une approche beaucoup plus subtile. Ils activent simplement un service d’accès à distance (SSH) sur un port inhabituel et glissent discrètement leur propre « clé d’accès » dans une zone de mémoire particulière du routeur.

Cette zone, appelée NVRAM, présente une caractéristique spéciale : elle conserve ses données même quand vous redémarrez votre routeur ou installez une mise à jour.

Cette infrastructure piratée n’est destinée à voler vos données personnelles ou à espionner vos habitudes de navigation. Les chercheurs soupçonnent un objectif bien plus ambitieux : la construction d’un botnet massif.

Un botnet, c’est un réseau d’appareils compromis qui obéissent aux ordres d’un maître-marionnettiste. Avec 9 000 routeurs déjà sous contrôle et ce nombre qui continue de croître, les cybercriminels pourraient bientôt disposer d’une armée numérique capable de mener des attaques coordonnées.

Le profil de cette opération évoque les groupes APT (Advanced Persistent Threat), ces organisations de pirates particulièrement bien organisées qui opèrent généralement pour des objectifs stratégiques à long terme. Leur signature ? Une discrétion absolue, l’utilisation exclusive d’outils système légitimes, et la désactivation systématique des journaux qui pourraient trahir leur présence.

Comment démasquer l’intrus silencieux

La bonne nouvelle ? Asus a corrigé la faille exploitée dans ses dernières mises à jour. La moins bonne ? Si votre routeur était déjà compromis avant l’installation du correctif, la porte dérobée reste active.

Heureusement, quelques vérifications peuvent vous aider à détecter une intrusion. Rendez-vous dans les paramètres avancés de votre routeur et vérifiez si l’accès SSH est activé, particulièrement sur le port 53282. Cette configuration est inhabituelle, il se peut que rien ne soit activé par défaut.

Plus technique mais tout aussi important : allez vérifier le contenu du fichier « authorized_keys » qui peut révéler des clés cryptographiques que vous n’avez jamais installées.

GreyNoise recommande également de bloquer immédiatement quatre adresses IP associées à cette campagne : 101.99.91.151, 101.99.94.173, 79.141.163.179 et 111.90.146.237. Considérez-les comme des adresses à éviter absolument.

Si vous soupçonnez que votre routeur a été compromis, une seule solution s’avère totalement efficace : la réinitialisation complète. Cette opération efface tout, y compris les traces laissées par les pirates dans la NVRAM.

Et puis, le conseil qui est toujours bon à prendre : faites les mises à jour du firmware quand elles sont proposées.

