Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur

Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur

Les logiciels malveillants liés aux routeurs, aux périphériques réseau et à l'Internet des objets sont de plus en plus courants. La plupart se concentrent sur l'infection des appareils vulnérables et leur ajout à de puissants botnets. Les routeurs et les appareils Internet des objets (IoT) sont toujours sous tension, toujours en ligne et en attente d'instructions. Un fourrage parfait pour les botnets, donc.





Mais tous les logiciels malveillants ne sont pas identiques.



VPNFilter est une menace malveillante destructrice pour les routeurs, les appareils IoT et même certains appareils de stockage en réseau (NAS). Comment rechercher une infection par le malware VPNFilter ? Et comment pouvez-vous le nettoyer? Regardons de plus près VPNFilter.





Qu'est-ce que VPNFilter ?

VPNFilter est une variante de malware modulaire sophistiquée qui cible principalement les périphériques réseau d'un large éventail de fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement trouvé sur les périphériques réseau Linksys, MikroTik, NETGEAR et TP-Link, ainsi que sur les périphériques NAS QNAP, avec environ 500 000 infections dans 54 pays.

Les équipe qui a découvert VPNFilter , Cisco Talos, détails récemment mis à jour concernant le malware, indiquant que les équipements réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE présentent désormais des infections VPNFilter. Cependant, au moment de la rédaction, aucun périphérique réseau Cisco n'est affecté.



Le malware est différent de la plupart des autres malwares axés sur l'IoT car il persiste après un redémarrage du système, ce qui le rend difficile à éradiquer. Les appareils utilisant leurs identifiants de connexion par défaut ou présentant des vulnérabilités zero-day connues qui n'ont pas reçu de mises à jour du micrologiciel sont particulièrement vulnérables.

comment faire une capture d'écran sans impression d'écran

Que fait VPNFilter ?

Ainsi, VPNFilter est une « plate-forme modulaire à plusieurs étages » qui peut causer des dommages destructeurs aux appareils . En outre, il peut également servir de menace pour la collecte de données. VPNFilter fonctionne en plusieurs étapes.



Étape 1: VPNFilter Stage 1 établit une tête de pont sur l'appareil, contactant son serveur de commande et de contrôle (C&C) pour télécharger des modules supplémentaires et attendre des instructions. L'étape 1 dispose également de plusieurs redondances intégrées pour localiser les C&C de l'étape 2 en cas de changement d'infrastructure pendant le déploiement. Le malware VPNFilter Stage 1 est également capable de survivre à un redémarrage, ce qui en fait une menace robuste.

Étape 2 : VPNFilter Stage 2 ne persiste pas lors d'un redémarrage, mais il est livré avec un plus large éventail de capacités. L'étape 2 peut collecter des données privées, exécuter des commandes et interférer avec la gestion des appareils. En outre, il existe différentes versions de l'étape 2 dans la nature. Certaines versions sont équipées d'un module destructeur qui écrase une partition du micrologiciel de l'appareil, puis redémarre pour rendre l'appareil inutilisable (le malware bloque le routeur, l'IoT ou l'appareil NAS, essentiellement).



Étape 3 : Les modules VPNFilter Stage 3 fonctionnent comme des plugins pour Stage 2, étendant les fonctionnalités de VPNFilter. Un module agit comme un renifleur de paquets qui collecte le trafic entrant sur l'appareil et vole les informations d'identification. Un autre permet au malware Stage 2 de communiquer en toute sécurité à l'aide de Tor. Cisco Talos a également trouvé un module qui injecte du contenu malveillant dans le trafic passant par l'appareil, ce qui signifie que le pirate peut fournir d'autres exploits à d'autres appareils connectés via un routeur, un appareil IoT ou NAS.

De plus, les modules VPNFilter « permettent le vol des informations d'identification du site Web et la surveillance des protocoles Modbus SCADA ».

Méta de partage de photos

Une autre caractéristique intéressante (mais pas nouvellement découverte) du malware VPNFilter est son utilisation de services de partage de photos en ligne pour trouver l'adresse IP de son serveur C&C. L'analyse de Talos a révélé que le malware pointe vers une série d'URL Photobucket. Le malware télécharge la première image de la galerie à laquelle l'URL fait référence et extrait une adresse IP de serveur cachée dans les métadonnées de l'image.

L'adresse IP 'est extraite de six valeurs entières pour la latitude et la longitude GPS dans les informations EXIF.' Si cela échoue, le logiciel malveillant de l'étape 1 revient à un domaine normal (toknowall.com --- plus d'informations ci-dessous) pour télécharger l'image et tenter le même processus.

Reniflage de paquets ciblé

Le rapport Talos mis à jour a révélé des informations intéressantes sur le module de reniflage de paquets VPNFilter. Plutôt que de tout aspirer, il dispose d'un ensemble de règles assez strictes qui ciblent des types de trafic spécifiques. Plus précisément, le trafic des systèmes de contrôle industriel (SCADA) qui se connectent à l'aide de VPN TP-Link R600, les connexions à une liste d'adresses IP prédéfinies (indiquant une connaissance avancée des autres réseaux et du trafic souhaitable), ainsi que des paquets de données de 150 octets ou plus grand.

Craig William, responsable technologique senior et responsable de la sensibilisation mondiale chez Talos, dit Ars , 'Ils recherchent des choses très spécifiques. Ils n'essaient pas de rassembler autant de trafic qu'ils le peuvent. Ils recherchent certaines très petites choses comme les informations d'identification et les mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, à part que cela semble incroyablement ciblé et incroyablement sophistiqué. Nous essayons toujours de savoir sur qui ils utilisaient ça.

D'où vient VPNFilter ?

VPNFilter est considéré comme l'œuvre d'un groupe de piratage parrainé par l'État. Que la vague d'infections VPNFilter initiale a été principalement ressentie dans toute l'Ukraine, les premiers doigts ont pointé vers les empreintes digitales soutenues par la Russie et le groupe de piratage, Fancy Bear.

Cependant, la sophistication du malware est telle qu'il n'y a pas de genèse claire et aucun groupe de piratage, état-nation ou autre, ne s'est avancé pour revendiquer le malware. Compte tenu des règles détaillées sur les logiciels malveillants et du ciblage de SCADA et d'autres protocoles de systèmes industriels, un acteur étatique semble le plus probable.

Indépendamment de ce que je pense, le FBI pense que VPNFilter est une création Fancy Bear. En mai 2018, le FBI saisi un domaine ---ToKnowAll.com --- qui aurait été utilisé pour installer et commander les logiciels malveillants VPNFilter Stage 2 et Stage 3. La saisie du domaine a certainement aidé à arrêter la propagation immédiate de VPNFilter, mais n'a pas coupé l'artère principale ; la SBU ukrainienne a démantelé une attaque VPNFilter contre une usine de traitement chimique en juillet 2018, par exemple.

applications qui vous apprennent à dessiner

VPNFilter présente également des similitudes avec le malware BlackEnergy, un cheval de Troie APT utilisé contre un large éventail de cibles ukrainiennes. Encore une fois, bien que ce soit loin d'être une preuve complète, le ciblage systémique de l'Ukraine provient principalement de groupes de piratage ayant des liens avec la Russie.

Suis-je infecté par VPNFilter ?

Il y a de fortes chances que votre routeur n'héberge pas le malware VPNFilter. Mais il vaut toujours mieux prévenir que guérir :

  1. Vérifiez cette liste pour votre routeur. Si vous n'êtes pas sur la liste, tout va bien.
  2. Vous pouvez vous rendre sur le site Symantec VPNFilter Check. Cochez la case Termes et conditions, puis appuyez sur le bouton Exécutez VPNFilter Check bouton au milieu. Le test se termine en quelques secondes.

Je suis infecté par VPNFilter : que dois-je faire ?

Si Symantec VPNFilter Check confirme que votre routeur est infecté, vous avez une ligne de conduite claire.

  1. Réinitialisez votre routeur, puis exécutez à nouveau la vérification VPNFilter.
  2. Réinitialisez votre routeur aux paramètres d'usine.
  3. Téléchargez le dernier micrologiciel pour votre routeur et effectuez une installation propre du micrologiciel, de préférence sans que le routeur ne se connecte en ligne pendant le processus.

De plus, vous devez effectuer des analyses complètes du système sur chaque appareil connecté au routeur infecté.

Vous devez toujours modifier les informations de connexion par défaut de votre routeur, ainsi que tous les appareils IoT ou NAS (les appareils IoT ne facilitent pas cette tâche) si possible. De plus, bien qu'il soit prouvé que VPNFilter peut échapper à certains pare-feu, en avoir un installé et correctement configuré aidera à garder beaucoup d'autres choses désagréables hors de votre réseau.

Méfiez-vous des logiciels malveillants du routeur !

Les logiciels malveillants de routeur sont de plus en plus courants. Les logiciels malveillants et les vulnérabilités de l'IoT sont partout, et avec le nombre d'appareils mis en ligne, ils ne feront qu'empirer. Votre routeur est le point focal pour les données dans votre maison. Pourtant, il ne reçoit pas autant d'attention en matière de sécurité que les autres appareils.

En termes simples, votre routeur n'est pas sécurisé comme vous le pensez.

Partager Partager Tweeter E-mail Guide du débutant pour animer un discours

Animer un discours peut être un défi. Si vous êtes prêt à commencer à ajouter du dialogue à votre projet, nous allons décomposer le processus pour vous.

Lire la suite Rubriques connexes
  • Sécurité
  • Routeur
  • Sécurité en ligne
  • Internet des objets
  • Logiciels malveillants
A propos de l'auteur Gavin Phillips(945 articles publiés)

Gavin est l'éditeur junior pour Windows et Technology Explained, un contributeur régulier au podcast Really Useful et un examinateur régulier de produits. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en écriture professionnelle. Il aime beaucoup le thé, les jeux de société et le football.

comment masquer le numéro lors d'un appel
Plus de Gavin Phillips

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner