Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPN Filter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants par exemple. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.
L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPN Filter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.
Les agents du FBI ont découvert une faille dans les plugins malicieux gérant la deuxième et la troisième phase de l'attaque. Lorsqu'on redémarre l'équipement, ces plugins sont effacés et ainsi, la deuxième et la troisième phase ne sont plus exécutées. C'est de là que le conseil du FBI de redémarrer les routeurs est fondé. Cependant, la première phase demeure. Le FBI « recommande, aux petites entreprises et aux propriétaires de routeurs, de redémarrer leurs périphériques pour perturber temporairement les logiciels malveillants et faire enregistrer les appareils infectés. Ils sont invités à désactiver les paramètres de gestion à distance sur leurs périphériques ou de les sécuriser avec des mots de passe ou des méthodes de chiffrement. Les périphériques réseau doivent être mis à niveau vers les dernières versions disponibles du firmware ».
Le département américain de la Sécurité intérieure a également publié hier une déclaration invitant « tous les propriétaires de routeurs SOHO de redémarrer leurs appareils pour perturber temporairement les logiciels malveillants ». Cette solution de redémarrage empêchera le maliciel d'exécuter les autres phases de son attaque et permettra aux agents du FBI de recenser les équipements infectés à travers le monde. Les autorités américaines soupçonnent qu'en dehors des failles exploitées dans les routeurs, les pirates auraient exploité également les paramètres par défaut de certains appareils. Voici en outre ce que le FBI recommande de faire pour contrecarrer cette attaque :
- redémarrer les routeurs et NAS ;
- changer les mots de passe ;
- mettre à niveau le firmeware des équipements ;
- désactiver le contrôle à distance sur les appareils.
Les victimes pourraient également suivre le conseil donné par CISCO le vendredi passé qui consiste à restaurer la configuration d'usine des équipements. cela permettrait de supprimer toutes configurations précédentes et ainsi restaurer les paramètres par défaut de l'appareil. Les types d'appareils concernés par cette attaque sont les suivants :
- Linksys E1200 ;
- Linksys E2500 ;
- Linksys WRVS4400N ;
- Mikrotik RouterOS Versions 1016, 1036 et 1072 ;
- Netgear DGN2200 ;
- Netgear R6400 ;
- Netgear R7000 ;
- Netgear R8000 ;
- Netgear WNR1000 ;
- Netgear WNR2000 ;
- QNAP TS251 ;
- QNAP TS439 Pro ;
- D'autres périphériques NAS QNAP exécutant le logiciel QTS ;
- TP-Link R600VPN.
Le FBI a également annoncé qu'il n'y a pas encore de moyen simple pour savoir si votre équipement est infecté ou pas. CISCO a publié le 23 mai passé des indications pour permettre aux utilisateurs avancés de détecter les traces de VPN Filter dans leurs équipements et également les règles de pare-feu qui peuvent être utilisées pour protéger les appareils.
Sources : Le Département de la justice, Public service annoncement, US CERT, Cisco Talos
Et vous ?
Êtes-vous concernés par cette attaque ?
Par quelles démarches avez-nous pu surmonter cette attaque ?
Auriez-vous des indications pour permettre de détecter le VPN Filter dans un routeur ?
Voir aussi
Le FBI a pu démanteler le botnet Kelihos grâce à une « licence de piratage de masse » délivrée par la justice US, quelles sont les implications ?
Le chercheur britannique qui a arrêté WannaCry est accusé d'avoir créé et distribué le malware Kronos, un cheval de Troie qui a touché les USA
Le FBI aurait utilisé des logiciels malveillants pour infecter les utilisateurs de Tor et tracer leurs activités en ligne
USA : le FBI prend le contrôle d'un serveur clé du Kremlin, qui aurait été utilisé pour pirater plus de 500 000 routeurs