Un logiciel malveillant peut avoir infecté environ 500 000 routeurs domestiques et de petites entreprises. Connu sous le nom de VPNFilter, il est capable de collecter des mots de passe, d’effectuer des attaques sur d’autres dispositifs et de désactiver les machines de façon permanente.
L’information a été divulguée par des chercheurs de Talos, l’unité de renseignement de Cisco. Selon eux, certains routeurs fabriqués par Linksys, MikroTik, Netgear, TP-Link, et d’autres dispositifs QNAP sont exposés.
Le rapport Talos indique que l’attaque a été menée depuis 2016 et a déjà touché des appareils dans au moins 54 pays. L’entreprise enquête sur les actions des cybercriminels depuis quelques mois et affirme que les attaques ont rapidement augmenté au cours des trois dernières semaines. Pour cette raison, elle a décidé de publier un rapport avant même que ses recherches ne soient prêtes.
Les chercheurs affirment que les logiciels malveillants peuvent être utilisés à des fins diverses. “Comme les appareils concernés appartiennent à des entreprises ou à des particuliers, les activités malveillantes menées à partir de ces appareils peuvent être attribuées à tort à ceux qui en sont réellement victimes”, explique William Largent, chercheur chez Talos.
Le FBI a confisqué l’un des domaines utilisés dans l’attaque. Selon les autorités américaines, il a été utilisé par les pirates informatiques du gouvernement russe. Dans leur rapport, Talos ne fait référence à aucun pays, mais a déclaré que le VPNFilter réutilise des parties de BlackEnergy, un logiciel malveillant utilisé dans une attaque liée au gouvernement russe. Une de ces attaques a eu lieu en décembre 2016 et a même provoqué un black-out en Ukraine.
Sommaire
Les trois étapes de l’attaque
L’action de VPNFilter s’effectue en trois étapes. Dans la première, un malware est installé et peut rendre sa présence sur l’appareil permanente. Il essaie ensuite de se connecter à un serveur de commande et de contrôle pour télécharger les modules suivants.
Pour cela, il y a la tentative de téléchargement d’une image hébergée dans Photobucket. Les métadonnées du fichier indiquent l’adresse IP nécessaire pour suivre la deuxième phase. Si la tentative échoue, le logiciel malveillant tente de télécharger l’image de toknowall.com ? le domaine qui aurait été utilisé par le gouvernement russe.
Si la connexion n’est toujours pas effective, l’étape attend un ordre des cybercriminels. Dans ce cas, le logiciel malveillant sauvegarde l’adresse IP publique de l’appareil afin de poursuivre l’action.
La deuxième phase est celle où la charge d’attaque est la plus lourde. Il est capable de collecter des fichiers et des données, d’exécuter des commandes et de gérer des appareils. C’est à ce moment que VPNFilter obtient la possibilité de désactiver l’appareil à la demande des attaquants. S’ils décident de cette mesure, le malware écrase un morceau de firmware et redémarre l’appareil, le rendant inutilisable.
Enfin, la troisième étape comporte des modules qui fonctionnent comme des intermédiaires de la deuxième étape. L’un d’eux peut analyser le trafic transmis à l’appareil et est capable de voler les identifiants insérés dans un site web.
Un autre module permet de communiquer via Tor. Dans son rapport, Talos affirme qu’il pourrait y avoir d’autres modules qui n’ont pas encore été découverts.
Quels appareils ont été touchés ?
Les chercheurs ne savent toujours pas exactement comment les appareils sont infectés, mais ils indiquent que les cibles sont ceux qui utilisent des mots de passe standard ou qui ont des lacunes connues, principalement en raison de l’utilisation d’anciennes versions.
Selon Symantec, ce sont les principales cibles de VPNFilter :
Comment se protéger du VPNFilter
Les entreprises de sécurité recommandent aux utilisateurs de procéder à une restauration en usine de leurs appareils. En général, ce processus nécessite de maintenir le bouton d’alimentation enfoncé pendant quelques secondes. Après la restauration, ces appareils doivent être reconfigurés.
Idéalement, vous devriez changer les mots de passe par défaut, vérifier que les appareils ont les dernières versions de micrologiciels et, si possible, désactiver l’accès à distance.
Les chercheurs ne savent pas encore si les mesures sont efficaces dans tous les cas, car les cybercriminels peuvent également exploiter des lacunes non résolues. Néanmoins, ils devraient contribuer à minimiser les risques.
