Il y a deux semaines, les chercheurs de Cisco en partenariat avec Symantec ont mis en garde contre VPNFilter, un logiciel malveillant qui a infecté 500 000 routeurs dans au moins 54 pays. On pensait que l’objectif principal de ce fléau était de créer des réseaux de zombies pour des attaques coordonnées ou de capturer des données spécifiques, comme des mots de passe. Aujourd’hui, les experts reviennent sur les lieux pour signaler que le VPNFilter peut atteindre encore plus d’équipements et effectuer plus d’actions qu’on ne le pensait auparavant.
Dans une déclaration récente, Talos, la division du renseignement de sécurité de Cisco, déclare que les premières analyses ont indiqué que le VPNFilter était destiné à mener des actions offensives, comme le crash ou le piratage d’un serveur spécifique. Mais on sait maintenant que les logiciels malveillants peuvent également intercepter le trafic pour, par exemple, injecter un code malveillant dans les pages affichées dans le navigateur.
Comme expliqué ci-dessus, les logiciels malveillants agissent en trois étapes. Dans un premier temps, il est installé dans le routeur et reste actif jusqu’à ce que l’équipement soit redémarré. Dans le second, les logiciels malveillants sont capables de collecter des données et d’exécuter des commandes. Dans la troisième, VPNFilter accède aux modules qui soutiennent les actions de la deuxième phase. Les chercheurs savent maintenant que dans la dernière phase, le fléau peut intercepter des données provenant d’appareils qui se trouvent sur le même réseau que l’équipement infecté.
Il s’agit d’une attaque de type “man-in-the-middle” : le trafic intercepté reçoit un code malveillant qui peut être utilisé, par exemple, pour modifier le contenu d’une page sans que l’utilisateur ne s’en aperçoive. Notez que le site n’est pas affecté sur le serveur ; c’est la page chargée dans le navigateur qui est modifiée.
Les logiciels malveillants peuvent même analyser l’URL pour trouver des signes de trafic d’informations sensibles, tels que les mots de passe et l’identité de l’utilisateur. Lors de l’interception, VPNFilter peut même essayer de déclasser une connexion du HTTPS au HTTP et ainsi capturer des données en texte plat.
Un autre détail inquiétant est que les logiciels malveillants sont utilisés pour des actions soigneusement sélectionnées – comme vider le compte bancaire d’une seule personne – et non pour intercepter autant de données que possible, ce qui pourrait faciliter le suivi et l’atténuation du parasite.
Équipements concernés
Les chercheurs de Talos expliquent que la liste des équipements vulnérables s’est considérablement allongée. Parmi eux figurent des routeurs et d’autres équipements de réseau de marques telles que Asus, D-Link et Huawei :
Asus :
D-Link :
Huawei :
Linksys :
Mikrotik :
Netgear :
QNAP :
TP-Link :
Ubiquiti :
Upvel :
ZTE :
Il n’y a pas de moyen facile de savoir si un appareil est infecté, mais des soins de base aident à la prévention, comme le changement du mot de passe par défaut du routeur et l’installation de la dernière version de micrologiciel disponible pour l’équipement.