Les routeurs, les périphériques réseau et les logiciels malveillants de l'Internet des objets sont de plus en plus courants. La plupart se concentrent sur l'infection des appareils vulnérables et leur ajout à de puissants botnets. Les routeurs et les appareils Internet des objets (IoT) sont toujours sous tension, toujours en ligne et attendent des instructions. Parfait fourrage botnet, alors.
Mais tous les logiciels malveillants ne sont pas identiques.
VPNFilter est une menace malveillante destructrice pour les routeurs, les appareils IoT et même certains appareils de stockage en réseau (NAS). Comment recherchez-vous une infection par un logiciel malveillant VPNFilter ? Et comment pouvez-vous le nettoyer? Examinons de plus près VPNFilter.
VPNFilter est une variante de malware modulaire sophistiquée qui cible principalement les périphériques réseau d'un large éventail de fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement trouvé sur les appareils réseau Linksys, MikroTik, NETGEAR et TP-Link, ainsi que sur les appareils NAS QNAP, avec environ 500 000 infections dans 54 pays.
L'équipe qui a découvert VPNFilter, Cisco Talos, a récemment mis à jour les détails concernant le logiciel malveillant, indiquant que les équipements réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE affichent désormais des infections VPNFilter. Cependant, au moment de la rédaction, aucun périphérique réseau Cisco n'est affecté.
Le malware est différent de la plupart des autres malwares axés sur l'IoT car il persiste après un redémarrage du système, ce qui le rend difficile à éradiquer. Les appareils utilisant leurs identifiants de connexion par défaut ou présentant des vulnérabilités zero-day connues qui n'ont pas reçu de mises à jour du micrologiciel sont particulièrement vulnérables.
Ainsi, VPNFilter est une "plate-forme modulaire à plusieurs étapes" qui peut causer des dommages destructeurs aux appareils. En outre, il peut également constituer une menace pour la collecte de données. VPNFilter fonctionne en plusieurs étapes.
Étape 1 : VPNFilter Stage 1 établit une tête de pont sur l'appareil, contactant son serveur de commande et de contrôle (C&C) pour télécharger des modules supplémentaires et attendre des instructions. L'étape 1 comporte également plusieurs redondances intégrées pour localiser les C&C de l'étape 2 en cas de changement d'infrastructure pendant le déploiement. Le logiciel malveillant Stage 1 VPNFilter est également capable de survivre à un redémarrage, ce qui en fait une menace robuste.
Étape 2 : VPNFilter Stage 2 ne persiste pas après un redémarrage, mais il est livré avec un éventail de fonctionnalités plus large. L'étape 2 peut collecter des données privées, exécuter des commandes et interférer avec la gestion des appareils. En outre, il existe différentes versions de l'étape 2 dans la nature. Certaines versions sont équipées d'un module destructeur qui écrase une partition du micrologiciel de l'appareil, puis redémarre pour rendre l'appareil inutilisable (le logiciel malveillant brique le routeur, l'IoT ou l'appareil NAS, en gros).
Étape 3 : Les modules VPNFilter Stage 3 fonctionnent comme des plugins pour Stage 2, étendant les fonctionnalités de VPNFilter. Un module agit comme un renifleur de paquets qui collecte le trafic entrant sur l'appareil et vole les informations d'identification. Un autre permet au logiciel malveillant de niveau 2 de communiquer en toute sécurité à l'aide de Tor. Cisco Talos a également trouvé un module qui injecte du contenu malveillant dans le trafic transitant par l'appareil, ce qui signifie que le pirate peut livrer d'autres exploits à d'autres appareils connectés via un routeur, un appareil IoT ou NAS.
De plus, les modules VPNFilter "permettent le vol d'identifiants de site Web et la surveillance des protocoles Modbus SCADA".
Une autre caractéristique intéressante (mais pas récemment découverte) du logiciel malveillant VPNFilter est son utilisation de services de partage de photos en ligne pour trouver l'adresse IP de son serveur C&C. L'analyse de Talos a révélé que le logiciel malveillant pointe vers une série d'URL Photobucket. Le logiciel malveillant télécharge la première image de la galerie à laquelle l'URL fait référence et extrait une adresse IP de serveur masquée dans les métadonnées de l'image.
L'adresse IP "est extraite de six valeurs entières pour la latitude et la longitude GPS dans les informations EXIF". Si cela échoue, le logiciel malveillant de l'étape 1 revient à un domaine normal (toknowall.com --- plus à ce sujet ci-dessous) pour télécharger l'image et tenter le même processus.
Le rapport Talos mis à jour a révélé des informations intéressantes sur le module de reniflage de paquets VPNFilter. Plutôt que de simplement passer l'aspirateur, il a un ensemble de règles assez strictes qui ciblent des types de trafic spécifiques. Plus précisément, le trafic des systèmes de contrôle industriels (SCADA) qui se connectent à l'aide de VPN TP-Link R600, les connexions à une liste d'adresses IP prédéfinies (indiquant une connaissance avancée des autres réseaux et du trafic souhaitable), ainsi que des paquets de données de 150 octets ou plus.
Craig William, responsable principal de la technologie et responsable mondial de la sensibilisation chez Talos, a déclaré à Ars :"Ils recherchent des choses très spécifiques. Ils n'essaient pas de rassembler autant de trafic qu'ils le peuvent. Ils recherchent certaines très petites choses comme informations d'identification et mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, sauf que cela semble incroyablement ciblé et incroyablement sophistiqué. Nous essayons toujours de savoir sur qui ils l'utilisaient."
On pense que VPNFilter est le travail d'un groupe de piratage parrainé par l'État. Que la vague initiale d'infections VPNFilter ait été principalement ressentie dans toute l'Ukraine, les premiers doigts ont pointé des empreintes digitales soutenues par la Russie et le groupe de piratage, Fancy Bear.
Cependant, la sophistication du malware est telle qu'il n'y a pas de genèse claire et aucun groupe de piratage, étatique ou autre, ne s'est avancé pour revendiquer le malware. Compte tenu des règles détaillées sur les logiciels malveillants et du ciblage de SCADA et d'autres protocoles de système industriel, un acteur de l'État-nation semble le plus probable.
Indépendamment de ce que je pense, le FBI pense que VPNFilter est une création de Fancy Bear. En mai 2018, le FBI a saisi un domaine --- ToKnowAll.com --- qui aurait été utilisé pour installer et commander les logiciels malveillants VPNFilter de stade 2 et de stade 3. La saisie du domaine a certainement aidé à arrêter la propagation immédiate de VPNFilter, mais n'a pas coupé l'artère principale ; le SBU ukrainien a mis fin à une attaque VPNFilter contre une usine de traitement chimique en juillet 2018, pour commencer.
VPNFilter présente également des similitudes avec le malware BlackEnergy, un cheval de Troie APT utilisé contre un large éventail de cibles ukrainiennes. Encore une fois, bien que ce soit loin d'être une preuve complète, le ciblage systémique de l'Ukraine provient principalement de groupes de piratage ayant des liens avec la Russie.
Il y a de fortes chances que votre routeur n'héberge pas le logiciel malveillant VPNFilter. Mais il vaut toujours mieux prévenir que guérir :
Si le Symantec VPNFilter Check confirme que votre routeur est infecté, vous disposez d'un plan d'action clair.
De plus, vous devez effectuer des analyses complètes du système sur chaque appareil connecté au routeur infecté.
Vous devez toujours modifier les identifiants de connexion par défaut de votre routeur, ainsi que tous les appareils IoT ou NAS (les appareils IoT ne facilitent pas cette tâche) si possible. De plus, bien qu'il soit prouvé que VPNFilter peut échapper à certains pare-feu, en avoir un installé et correctement configuré aidera à garder beaucoup d'autres choses désagréables hors de votre réseau.
Les logiciels malveillants de routeur sont de plus en plus courants. Les logiciels malveillants et les vulnérabilités de l'IoT sont partout, et avec le nombre d'appareils mis en ligne, ils ne feront qu'empirer. Votre routeur est le point central des données dans votre maison. Pourtant, il ne reçoit pas autant d'attention en matière de sécurité que les autres appareils.
En termes simples, votre routeur n'est pas sécurisé comme vous le pensez.
