Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPNFilter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.
L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPNFilter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.
De nouvelles informations découvertes sur VPNFilter
La nouvelle analyse, dont Cisco a publié les détails hier, montre que VPNFilter constitue une menace plus importante et cible plus de dispositifs qu'il y a deux semaines. Auparavant, Cisco croyait que l'objectif principal de VPNFilter était d'utiliser des routeurs, des commutateurs et des périphériques de stockage connectés au réseau domestique et aux petites entreprises comme plateforme pour lancer des attaques dissimulées sur des cibles principales. La découverte du module ssler suggère que les propriétaires de routeur eux-mêmes sont une cible clé de VPNFilter.
« Au départ, quand nous avons vu cela, nous pensions qu'il était principalement fait pour des capacités offensives comme le routage des attaques sur Internet », a déclaré Craig Williams, responsable technologique chez Talos, une unité de Cisco. « Mais il semble que [les attaquants] aient complètement évolué au-delà de cela, et maintenant non seulement cela leur permet de le faire, mais ils peuvent manipuler tout ce qui passe par le périphérique compromis. Ils peuvent modifier le solde de votre compte bancaire de sorte qu'il semble normal tout en siphonnant de l'argent et potentiellement des clés PGP et des choses comme ça. Ils peuvent manipuler tout ce qui entre dans et sors de l'appareil ».
De plus, Cisco a découvert que VPNFilter cible plus de marques / modèles d'appareils que prévu initialement et dispose de capacités supplémentaires, notamment la possibilité de livrer des exploits aux terminaux. Les fournisseurs qui s’ajoutent à cette liste sont ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. De nouveaux appareils ont également été découverts chez Linksys, MikroTik, Netgear et TP-Link.
Cisco a également découvert un nouveau module de niveau 3 qui injecte du contenu malveillant dans le trafic Web lorsqu'il passe à travers un périphérique réseau. « Au moment de notre publication initiale, nous ne disposions pas de toutes les informations concernant les modules présumés de niveau 3. Le nouveau module permet à l'acteur de fournir des exploits aux points de terminaison via une capacité man-in-the-middle (par exemple, ils peuvent intercepter le trafic réseau et y injecter du code malveillant sans que l'utilisateur le sache). Avec cette nouvelle découverte, nous pouvons confirmer que la menace va au-delà de ce que l'acteur pourrait faire sur le périphérique réseau lui-même, et étend la menace dans les réseaux pris en charge par un périphérique réseau compromis ». Les détails sur ce module, nommé “ssler” ont été fournis.
De plus, Cisco affirme avoir découvert un module supplémentaire de niveau 3 qui fournit à n'importe quel module de niveau 2 qui n'a pas la commande kill la capacité de désactiver le périphérique. Lorsqu'il est exécuté, ce module supprime spécifiquement les traces du logiciel malveillant VPNFilter de l'appareil, puis rend l'appareil inutilisable. L'analyse de ce module, appelé "dstr”, a été fournie.
Liste des appareils concernés
Williams estime que les modèles supplémentaires mettent 200 000 routeurs supplémentaires dans le monde à risque d'être infectés. La liste complète des appareils ciblés est:
Appareils Asus:
- RT-AC66U (nouveau)
- RT-N10 (nouveau)
- RT-N10E (nouveau)
- RT-N10U (nouveau)
- RT-N56U (nouveau)
- RT-N66U (nouveau)
Périphériques D-Link:
- DES-1210-08P (nouveau)
- DIR-300 (nouveau)
- DIR-300A (nouveau)
- DSR-250N (nouveau)
- DSR-500N (nouveau)
- DSR-1000 (nouveau)
- DSR-1000N (nouveau)
Appareils Huawei :
HG8245 (nouveau)
Dispositifs Linksys:
- E1200
- E2500
- E3000 (nouveau)
- E3200 (nouveau)
- E4200 (nouveau)
- RV082 (nouveau)
- WRVS4400N
Appareils Mikrotik:
- CCR1009 (nouveau)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (nouveau)
- CRS112 (nouveau)
- CRS125 (nouveau)
- RB411 (nouveau)
- RB450 (nouveau)
- RB750 (nouveau)
- RB911 (nouveau)
- RB921 (nouveau)
- RB941 (nouveau)
- RB951 (nouveau)
- RB952 (nouveau)
- RB960 (nouveau)
- RB962 (nouveau)
- RB1100 (nouveau)
- RB1200 (nouveau)
- RB2011 (nouveau)
- RB3011 (nouveau)
- RB Groove (nouveau)
- RB Omnitik (nouveau)
- STX5 (nouveau)
Appareils Netgear:
- DG834 (nouveau)
- DGN1000 (nouveau)
- DGN2200
- DGN3500 (nouveau)
- FVS318N (nouveau)
- MBRN3000 (nouveau)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (nouveau)
- WNR4000 (nouveau)
- WNDR3700 (nouveau)
- WNDR4000 (nouveau)
- WNDR4300 (nouveau)
- WNDR4300-TN (nouveau)
- UTM50 (nouveau)
Périphériques QNAP:
TS251
TS439 Pro
Autres périphériques NAS QNAP exécutant le logiciel QTS
Dispositifs TP-Link:
- R600VPN
- TL-WR741ND (nouveau)
- TL-WR841N (nouveau)
Périphériques Ubiquiti:
- NSM2 (nouveau)
- PBE M5 (nouveau)
Périphériques Upvel:
Modèles inconnus * (nouveau)
Appareils ZTE:
ZXHN H108N (nouveau)
Source : Talos
Et vous ?
Utilisez-vous l'un des appareils vulnérables qui figurent sur la liste ? Lequel ?
Avez-vous subi cette attaque ? Si oui, comment l'avez vous détectée ?
Avez-vous des conseils à prodiguer pour mieux se protéger, ou au moins en atténuer l'impact ?
Voir aussi :
Telegram Desktop serait victime d'un malware baptisé TeleGrab, qui vole les fichiers de cache et fichiers clés de l'application de messagerie
Check Point publie le Top 10 des malwares qui ont été le plus actifs en avril 2018, les malwares de cryptominage ont dominé le classement
Le malware Nigelthorn infecte plus de 100 000 utilisateurs à travers des copies d'extensions depuis le Chrome Web Store
Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
FacexWorm : un malware qui cible les plateformes d'échanges de cryptomonnaie, et qui se sert de Facebook Messenger pour se propager