Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

USA : le FBI publie une méthode pour contrecarrer le maliciel « VPN Filter »,
Qui aurait été utilisé pour pirater plus de 500 000 routeurs

Le , par Bill Fassinou

137PARTAGES

11  0 
Le département de la justice américaine avait annoncé le mercredi 23 mai 2018 qu'une cyberattaque d'un groupe de pirates russes aurait infecté plus de 500 000 routeurs dans le monde. Cette attaque, qui serait l’œuvre du groupe de pirates connu sous le nom de Sofacy Group, vise le gouvernement, les militaires, les organismes de sécurité informatique, et bien d'autres. Cette annonce a été faite par John C. Demers (procureur général adjoint pour la sécurité nationale), Scott W. Brady (avocat du district ouest de la Pennsylvanie), Scott Smith (directeur de la division Cyber ​​du FBI), les agents spéciaux du FBI Robert Johnson et David J. LeValley. C'est le même groupe qui serait à l'origine de l'attaque contre le Comité national démocrate lors des élections présidentielles de 2016.

Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPN Filter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants par exemple. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.


L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPN Filter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.

Les agents du FBI ont découvert une faille dans les plugins malicieux gérant la deuxième et la troisième phase de l'attaque. Lorsqu'on redémarre l'équipement, ces plugins sont effacés et ainsi, la deuxième et la troisième phase ne sont plus exécutées. C'est de là que le conseil du FBI de redémarrer les routeurs est fondé. Cependant, la première phase demeure. Le FBI « recommande, aux petites entreprises et aux propriétaires de routeurs, de redémarrer leurs périphériques pour perturber temporairement les logiciels malveillants et faire enregistrer les appareils infectés. Ils sont invités à désactiver les paramètres de gestion à distance sur leurs périphériques ou de les sécuriser avec des mots de passe ou des méthodes de chiffrement. Les périphériques réseau doivent être mis à niveau vers les dernières versions disponibles du firmware ».


Le département américain de la Sécurité intérieure a également publié hier une déclaration invitant « tous les propriétaires de routeurs SOHO de redémarrer leurs appareils pour perturber temporairement les logiciels malveillants ». Cette solution de redémarrage empêchera le maliciel d'exécuter les autres phases de son attaque et permettra aux agents du FBI de recenser les équipements infectés à travers le monde. Les autorités américaines soupçonnent qu'en dehors des failles exploitées dans les routeurs, les pirates auraient exploité également les paramètres par défaut de certains appareils. Voici en outre ce que le FBI recommande de faire pour contrecarrer cette attaque :

  • redémarrer les routeurs et NAS ;
  • changer les mots de passe ;
  • mettre à niveau le firmeware des équipements ;
  • désactiver le contrôle à distance sur les appareils.


Les victimes pourraient également suivre le conseil donné par CISCO le vendredi passé qui consiste à restaurer la configuration d'usine des équipements. cela permettrait de supprimer toutes configurations précédentes et ainsi restaurer les paramètres par défaut de l'appareil. Les types d'appareils concernés par cette attaque sont les suivants :

  • Linksys E1200 ;
  • Linksys E2500 ;
  • Linksys WRVS4400N ;
  • Mikrotik RouterOS Versions 1016, 1036 et 1072 ;
  • Netgear DGN2200 ;
  • Netgear R6400 ;
  • Netgear R7000 ;
  • Netgear R8000 ;
  • Netgear WNR1000 ;
  • Netgear WNR2000 ;
  • QNAP TS251 ;
  • QNAP TS439 Pro ;
  • D'autres périphériques NAS QNAP exécutant le logiciel QTS ;
  • TP-Link R600VPN.


Le FBI a également annoncé qu'il n'y a pas encore de moyen simple pour savoir si votre équipement est infecté ou pas. CISCO a publié le 23 mai passé des indications pour permettre aux utilisateurs avancés de détecter les traces de VPN Filter dans leurs équipements et également les règles de pare-feu qui peuvent être utilisées pour protéger les appareils.

Sources : Le Département de la justice, Public service annoncement, US CERT, Cisco Talos

Et vous ?

Êtes-vous concernés par cette attaque ?
Par quelles démarches avez-nous pu surmonter cette attaque ?
Auriez-vous des indications pour permettre de détecter le VPN Filter dans un routeur ?

Voir aussi

Le FBI a pu démanteler le botnet Kelihos grâce à une « licence de piratage de masse » délivrée par la justice US, quelles sont les implications ?
Le chercheur britannique qui a arrêté WannaCry est accusé d'avoir créé et distribué le malware Kronos, un cheval de Troie qui a touché les USA
Le FBI aurait utilisé des logiciels malveillants pour infecter les utilisateurs de Tor et tracer leurs activités en ligne
USA : le FBI prend le contrôle d'un serveur clé du Kremlin, qui aurait été utilisé pour pirater plus de 500 000 routeurs

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 19/06/2018 à 17:17
J'ai un bon paquets des routeurs concernés et je m'en suis fait péter 4.

Je ne sais pas si il s'agit de la faille indiquée ici mais ça y ressemble
Création de backdoor VPN
activation du proxy, pour passer par un relai externe, ce genre de choses.

très dérangeant, le truc utilise le système de dump pour les rapport de bug et l'upload quelque part.
Il y a fort à parier que les hash des mots de passe utilisateur soient dedans.
1  0 
Avatar de tarassboulba
Nouveau membre du Club https://www.developpez.com
Le 05/06/2018 à 8:44
Si j'ai bien compris le nom de domaine qui servait pour l'envoi des étapes successives de déploiement de l'attaque ainsi que ( ?) le recueil des données transmise est maintenant sous le contrôle du FBI.

Donc pour les équipements atteints, on passe d'une surveillance par "on ne sait qui" à des transmissions vers le FBI.
Ouf! Voilà qui est bien rassurant.
Les entreprises qui pourraient être concernés en seront soulagées...

Par contre je vois aussi assez bien l'intérêt de conseiller de le redémarrer en place si on a le contrôle de l'accès à la plateforme de contrôle à distance.

N'est-il pas plus judicieux de couper l'équipement, l'isoler, le redémarrer, le réinstaller avec le dernier Firmware?
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web