Les routeurs, périphériques réseau et malwares IoT prolifèrent. Ils infectent les appareils vulnérables pour les intégrer à des botnets massifs. Toujours allumés et connectés, ces équipements sont des cibles idéales.
Tous les malwares ne se ressemblent pas.
VPNFilter est un malware destructeur visant routeurs, appareils IoT et NAS. Découvrez comment le repérer et l'éliminer. Analyse détaillée à suivre.
VPNFilter est un malware modulaire sophistiqué touchant une large gamme de routeurs (Linksys, MikroTik, NETGEAR, TP-Link) et NAS QNAP. Près de 500 000 infections dans 54 pays ont été recensées initialement.
Cisco Talos, qui l'a découvert, signale désormais des infections sur ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. Aucun équipement Cisco n'est affecté à ce jour.
Contrairement à d'autres malwares IoT, VPNFilter persiste après redémarrage, rendant son éradication ardue. Les identifiants par défaut et firmwares non mis à jour augmentent les risques.
Cette "plateforme modulaire à plusieurs étapes" endommage les appareils et vole des données. Elle opère en trois phases.
Étape 1 : Établit une présence persistante, contacte le serveur C&C pour modules supplémentaires. Redondances intégrées assurent la robustesse post-redémarrage.
Étape 2 : Non persistante, mais polyvalente : collecte de données, exécution de commandes, interférence. Certaines versions incluent un module destructeur qui "brick" l'appareil en écrasant une partition firmware.
Étape 3 : Plugins pour Étape 2 : sniffer de paquets pour voler identifiants, communication Tor, injection de malwares via trafic transit. Vol d'identifiants web et surveillance Modbus SCADA.
VPNFilter utilise Photobucket pour masquer adresses C&C : extrait IP des métadonnées EXIF (latitude/longitude GPS). Sinon, fallback sur toknowall.com.
Le sniffer cible trafic SCADA via VPN TP-Link R600, IP prédéfinies et paquets ≥150 octets. Craig Williams (Talos) note : "Ciblage précis et sophistiqué pour identifiants et mots de passe."
Suspecté d'un acteur étatique, avec pic en Ukraine pointant vers Fancy Bear (Russie). Sophistication et focus SCADA renforcent cette thèse. FBI a saisi toknowall.com en 2018. Similitudes avec BlackEnergy.
Vérifiez via la liste des appareils affectés. Utilisez l'outil Symantec VPNFilter Check : acceptez termes, lancez scan (quelques secondes).
Fréquence croissante des menaces IoT. Sécurisez votre routeur, pivot de données domestiques, comme vos autres appareils.
[]