USA : le FBI publie une méthode pour contrecarrer le maliciel « VPN Filter »,
Qui aurait été utilisé pour pirater plus de 500 000 routeurs

Le , par Bill Fassinou, Chroniqueur Actualités
Le département de la justice américaine avait annoncé le mercredi 23 mai 2018 qu'une cyberattaque d'un groupe de pirates russes aurait infecté plus de 500 000 routeurs dans le monde. Cette attaque, qui serait l’œuvre du groupe de pirates connu sous le nom de Sofacy Group, vise le gouvernement, les militaires, les organismes de sécurité informatique, et bien d'autres. Cette annonce a été faite par John C. Demers (procureur général adjoint pour la sécurité nationale), Scott W. Brady (avocat du district ouest de la Pennsylvanie), Scott Smith (directeur de la division Cyber ​​du FBI), les agents spéciaux du FBI Robert Johnson et David J. LeValley. C'est le même groupe qui serait à l'origine de l'attaque contre le Comité national démocrate lors des élections présidentielles de 2016.

Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPN Filter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants par exemple. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.


L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPN Filter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.

Les agents du FBI ont découvert une faille dans les plugins malicieux gérant la deuxième et la troisième phase de l'attaque. Lorsqu'on redémarre l'équipement, ces plugins sont effacés et ainsi, la deuxième et la troisième phase ne sont plus exécutées. C'est de là que le conseil du FBI de redémarrer les routeurs est fondé. Cependant, la première phase demeure. Le FBI « recommande, aux petites entreprises et aux propriétaires de routeurs, de redémarrer leurs périphériques pour perturber temporairement les logiciels malveillants et faire enregistrer les appareils infectés. Ils sont invités à désactiver les paramètres de gestion à distance sur leurs périphériques ou de les sécuriser avec des mots de passe ou des méthodes de chiffrement. Les périphériques réseau doivent être mis à niveau vers les dernières versions disponibles du firmware ».


Le département américain de la Sécurité intérieure a également publié hier une déclaration invitant « tous les propriétaires de routeurs SOHO de redémarrer leurs appareils pour perturber temporairement les logiciels malveillants ». Cette solution de redémarrage empêchera le maliciel d'exécuter les autres phases de son attaque et permettra aux agents du FBI de recenser les équipements infectés à travers le monde. Les autorités américaines soupçonnent qu'en dehors des failles exploitées dans les routeurs, les pirates auraient exploité également les paramètres par défaut de certains appareils. Voici en outre ce que le FBI recommande de faire pour contrecarrer cette attaque :

  • redémarrer les routeurs et NAS ;
  • changer les mots de passe ;
  • mettre à niveau le firmeware des équipements ;
  • désactiver le contrôle à distance sur les appareils.


Les victimes pourraient également suivre le conseil donné par CISCO le vendredi passé qui consiste à restaurer la configuration d'usine des équipements. cela permettrait de supprimer toutes configurations précédentes et ainsi restaurer les paramètres par défaut de l'appareil. Les types d'appareils concernés par cette attaque sont les suivants :

  • Linksys E1200 ;
  • Linksys E2500 ;
  • Linksys WRVS4400N ;
  • Mikrotik RouterOS Versions 1016, 1036 et 1072 ;
  • Netgear DGN2200 ;
  • Netgear R6400 ;
  • Netgear R7000 ;
  • Netgear R8000 ;
  • Netgear WNR1000 ;
  • Netgear WNR2000 ;
  • QNAP TS251 ;
  • QNAP TS439 Pro ;
  • D'autres périphériques NAS QNAP exécutant le logiciel QTS ;
  • TP-Link R600VPN.


Le FBI a également annoncé qu'il n'y a pas encore de moyen simple pour savoir si votre équipement est infecté ou pas. CISCO a publié le 23 mai passé des indications pour permettre aux utilisateurs avancés de détecter les traces de VPN Filter dans leurs équipements et également les règles de pare-feu qui peuvent être utilisées pour protéger les appareils.

Sources : Le Département de la justice, Public service annoncement, US CERT, Cisco Talos

Et vous ?

Êtes-vous concernés par cette attaque ?
Par quelles démarches avez-nous pu surmonter cette attaque ?
Auriez-vous des indications pour permettre de détecter le VPN Filter dans un routeur ?

Voir aussi

Le FBI a pu démanteler le botnet Kelihos grâce à une « licence de piratage de masse » délivrée par la justice US, quelles sont les implications ?
Le chercheur britannique qui a arrêté WannaCry est accusé d'avoir créé et distribué le malware Kronos, un cheval de Troie qui a touché les USA
Le FBI aurait utilisé des logiciels malveillants pour infecter les utilisateurs de Tor et tracer leurs activités en ligne
USA : le FBI prend le contrôle d'un serveur clé du Kremlin, qui aurait été utilisé pour pirater plus de 500 000 routeurs


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de tarassboulba tarassboulba - Nouveau membre du Club https://www.developpez.com
le 05/06/2018 à 8:44
Si j'ai bien compris le nom de domaine qui servait pour l'envoi des étapes successives de déploiement de l'attaque ainsi que ( ?) le recueil des données transmise est maintenant sous le contrôle du FBI.

Donc pour les équipements atteints, on passe d'une surveillance par "on ne sait qui" à des transmissions vers le FBI.
Ouf! Voilà qui est bien rassurant.
Les entreprises qui pourraient être concernés en seront soulagées...

Par contre je vois aussi assez bien l'intérêt de conseiller de le redémarrer en place si on a le contrôle de l'accès à la plateforme de contrôle à distance.

N'est-il pas plus judicieux de couper l'équipement, l'isoler, le redémarrer, le réinstaller avec le dernier Firmware?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 07/06/2018 à 11:46
Le malware VPNFilter, qui a été utilisé pour pirater plus de 500 000 routeurs dans le monde,
est plus sophistiqué que ne laissaient penser les premières analyses

Le département de la justice américaine a annoncé le mercredi 23 mai 2018 qu'une cyberattaque d'un groupe de pirates russes aurait infecté plus de 500 000 routeurs dans le monde. Cette attaque, qui serait l’œuvre du groupe de pirates connu sous le nom de Sofacy Group, vise le gouvernement, les militaires, les organismes de sécurité informatique, et bien d'autres. Cette annonce a été faite par John C. Demers (procureur général adjoint pour la sécurité nationale), Scott W. Brady (avocat du district ouest de la Pennsylvanie), Scott Smith (directeur de la division Cyber ​​du FBI), les agents spéciaux du FBI Robert Johnson et David J. LeValley. C'est le même groupe qui serait à l'origine de l'attaque contre le Comité national démocrate lors des élections présidentielles de 2016.

Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPNFilter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.

L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPNFilter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.


De nouvelles informations découvertes sur VPNFilter

La nouvelle analyse, dont Cisco a publié les détails hier, montre que VPNFilter constitue une menace plus importante et cible plus de dispositifs qu'il y a deux semaines. Auparavant, Cisco croyait que l'objectif principal de VPNFilter était d'utiliser des routeurs, des commutateurs et des périphériques de stockage connectés au réseau domestique et aux petites entreprises comme plateforme pour lancer des attaques dissimulées sur des cibles principales. La découverte du module ssler suggère que les propriétaires de routeur eux-mêmes sont une cible clé de VPNFilter.

« Au départ, quand nous avons vu cela, nous pensions qu'il était principalement fait pour des capacités offensives comme le routage des attaques sur Internet », a déclaré Craig Williams, responsable technologique chez Talos, une unité de Cisco. « Mais il semble que [les attaquants] aient complètement évolué au-delà de cela, et maintenant non seulement cela leur permet de le faire, mais ils peuvent manipuler tout ce qui passe par le périphérique compromis. Ils peuvent modifier le solde de votre compte bancaire de sorte qu'il semble normal tout en siphonnant de l'argent et potentiellement des clés PGP et des choses comme ça. Ils peuvent manipuler tout ce qui entre dans et sors de l'appareil ».

De plus, Cisco a découvert que VPNFilter cible plus de marques / modèles d'appareils que prévu initialement et dispose de capacités supplémentaires, notamment la possibilité de livrer des exploits aux terminaux. Les fournisseurs qui s’ajoutent à cette liste sont ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. De nouveaux appareils ont également été découverts chez Linksys, MikroTik, Netgear et TP-Link.

Cisco a également découvert un nouveau module de niveau 3 qui injecte du contenu malveillant dans le trafic Web lorsqu'il passe à travers un périphérique réseau. « Au moment de notre publication initiale, nous ne disposions pas de toutes les informations concernant les modules présumés de niveau 3. Le nouveau module permet à l'acteur de fournir des exploits aux points de terminaison via une capacité man-in-the-middle (par exemple, ils peuvent intercepter le trafic réseau et y injecter du code malveillant sans que l'utilisateur le sache). Avec cette nouvelle découverte, nous pouvons confirmer que la menace va au-delà de ce que l'acteur pourrait faire sur le périphérique réseau lui-même, et étend la menace dans les réseaux pris en charge par un périphérique réseau compromis ». Les détails sur ce module, nommé “ssler” ont été fournis.


De plus, Cisco affirme avoir découvert un module supplémentaire de niveau 3 qui fournit à n'importe quel module de niveau 2 qui n'a pas la commande kill la capacité de désactiver le périphérique. Lorsqu'il est exécuté, ce module supprime spécifiquement les traces du logiciel malveillant VPNFilter de l'appareil, puis rend l'appareil inutilisable. L'analyse de ce module, appelé "dstr”, a été fournie.

Liste des appareils concernés

Williams estime que les modèles supplémentaires mettent 200 000 routeurs supplémentaires dans le monde à risque d'être infectés. La liste complète des appareils ciblés est:

Appareils Asus:
  • RT-AC66U (nouveau)
  • RT-N10 (nouveau)
  • RT-N10E (nouveau)
  • RT-N10U (nouveau)
  • RT-N56U (nouveau)
  • RT-N66U (nouveau)

Périphériques D-Link:
  • DES-1210-08P (nouveau)
  • DIR-300 (nouveau)
  • DIR-300A (nouveau)
  • DSR-250N (nouveau)
  • DSR-500N (nouveau)
  • DSR-1000 (nouveau)
  • DSR-1000N (nouveau)

Appareils Huawei :
HG8245 (nouveau)

Dispositifs Linksys:
  • E1200
  • E2500
  • E3000 (nouveau)
  • E3200 (nouveau)
  • E4200 (nouveau)
  • RV082 (nouveau)
  • WRVS4400N

Appareils Mikrotik:
  • CCR1009 (nouveau)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nouveau)
  • CRS112 (nouveau)
  • CRS125 (nouveau)
  • RB411 (nouveau)
  • RB450 (nouveau)
  • RB750 (nouveau)
  • RB911 (nouveau)
  • RB921 (nouveau)
  • RB941 (nouveau)
  • RB951 (nouveau)
  • RB952 (nouveau)
  • RB960 (nouveau)
  • RB962 (nouveau)
  • RB1100 (nouveau)
  • RB1200 (nouveau)
  • RB2011 (nouveau)
  • RB3011 (nouveau)
  • RB Groove (nouveau)
  • RB Omnitik (nouveau)
  • STX5 (nouveau)

Appareils Netgear:
  • DG834 (nouveau)
  • DGN1000 (nouveau)
  • DGN2200
  • DGN3500 (nouveau)
  • FVS318N (nouveau)
  • MBRN3000 (nouveau)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nouveau)
  • WNR4000 (nouveau)
  • WNDR3700 (nouveau)
  • WNDR4000 (nouveau)
  • WNDR4300 (nouveau)
  • WNDR4300-TN (nouveau)
  • UTM50 (nouveau)

Périphériques QNAP:
TS251
TS439 Pro
Autres périphériques NAS QNAP exécutant le logiciel QTS

Dispositifs TP-Link:
  • R600VPN
  • TL-WR741ND (nouveau)
  • TL-WR841N (nouveau)

Périphériques Ubiquiti:
  • NSM2 (nouveau)
  • PBE M5 (nouveau)

Périphériques Upvel:
Modèles inconnus * (nouveau)

Appareils ZTE:
ZXHN H108N (nouveau)

Source : Talos

Et vous ?

Utilisez-vous l'un des appareils vulnérables qui figurent sur la liste ? Lequel ?
Avez-vous subi cette attaque ? Si oui, comment l'avez vous détectée ?
Avez-vous des conseils à prodiguer pour mieux se protéger, ou au moins en atténuer l'impact ?

Voir aussi :

Telegram Desktop serait victime d'un malware baptisé TeleGrab, qui vole les fichiers de cache et fichiers clés de l'application de messagerie
Check Point publie le Top 10 des malwares qui ont été le plus actifs en avril 2018, les malwares de cryptominage ont dominé le classement
Le malware Nigelthorn infecte plus de 100 000 utilisateurs à travers des copies d'extensions depuis le Chrome Web Store
Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
FacexWorm : un malware qui cible les plateformes d'échanges de cryptomonnaie, et qui se sert de Facebook Messenger pour se propager
Avatar de pcdwarf pcdwarf - Membre éclairé https://www.developpez.com
le 19/06/2018 à 17:17
J'ai un bon paquets des routeurs concernés et je m'en suis fait péter 4.

Je ne sais pas si il s'agit de la faille indiquée ici mais ça y ressemble
Création de backdoor VPN
activation du proxy, pour passer par un relai externe, ce genre de choses.

très dérangeant, le truc utilise le système de dump pour les rapport de bug et l'upload quelque part.
Il y a fort à parier que les hash des mots de passe utilisateur soient dedans.

 
Contacter le responsable de la rubrique Accueil