Les logiciels malveillants de seiche sont loin d'être mignons, c'est une menace informatique très dangereuse
Le malware Cuttlefish, malgré son nom apparemment inoffensif, constitue une menace importante pour les routeurs des petites entreprises et des bureaux à domicile (SOHO). Son objectif principal est de surveiller clandestinement le trafic réseau transitant par ces appareils et de collecter les données d'authentification à partir des requêtes HTTP GET et POST. Selon un rapport de l'équipe Black Lotus Labs de Lumen Technologies, Cuttlefish fonctionne comme un malware modulaire, dont l'objectif principal est de voler les informations d'authentification transmises via le réseau local (LAN) du routeur. De plus, il a la capacité d’effectuer un détournement DNS et HTTP pour les connexions à des espaces IP privés au sein d’un réseau interne.
Certains éléments indiquent que Cuttlefish partage des similitudes avec un autre malware connu appelé HiatusRAT, bien qu'aucun cas de victimologie partagée n'ait encore été observé. Cuttlefish est actif depuis au moins le 27 juillet 2023, sa dernière campagne s'étant déroulée d'octobre 2023 à avril 2024, affectant principalement 600 adresses IP uniques associées à deux fournisseurs de télécommunications turcs.
Le vecteur d’accès initial utilisé par Cuttlefish pour compromettre les équipements réseau reste flou. Cependant, une fois qu’il a pris pied, il déploie un script bash pour collecter les données de l’hôte et les exfiltrer vers un domaine contrôlé par un acteur. Par la suite, il télécharge et exécute la charge utile Cuttlefish adaptée à l'architecture du routeur. Cuttlefish se concentre notamment sur le reniflage passif de paquets réseau pour cibler les données d'authentification associées aux services publics basés sur le cloud tels qu'Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare et BitBucket, en utilisant un filtre de paquets Berkeley étendu (eBPF).
La fonctionnalité du malware est régie par un ensemble de règles extraites d'un serveur de commande et de contrôle (C2), lui permettant de détourner le trafic destiné aux adresses IP privées ou de lancer une fonction de renifleur du trafic dirigé vers des adresses IP publiques afin de voler des informations d'identification. De plus, Cuttlefish peut agir comme proxy et VPN pour transmettre les données capturées via le routeur compromis, permettant ainsi aux acteurs malveillants d'accéder à des ressources ciblées à l'aide d'informations d'identification volées.
En résumé, Cuttlefish représente une évolution sophistiquée des logiciels malveillants d'écoute passive pour les équipements réseau de périphérie, combinant manipulation d'itinéraire, détournement de connexion et capacités de reniflage passif. Sa capacité à voler des données d'authentification donne non seulement accès aux ressources cloud, mais établit également un point d'ancrage au sein de l'écosystème cloud de l'entité ciblée, posant ainsi une menace importante pour la cybersécurité.