Plus d’un demi-million de routeurs et de périphériques de stockage, dans des dizaines de pays différents, ont été infectés par un programme malveillant hautement sophistiqué, probablement conçu par un cyber-groupe sponsorisé par l’État russe
L’unité de cyber-renseignements Talos de l’entreprise d’équipement réseaux Cisco a découvert un malware appelé VPNFilter, qui a été conçu avec des capacités polyvalentes pour recueillir des renseignements, interférer avec les communications Internet et mener à bien des opérations de cyberattaques destructrices
Le logiciel malveillant VPNFilter a déjà infecté plus de 500.000 appareils dans au moins 54 pays, dont la plupart sont de petits routeurs ou des dispositifs de stockage connectés à Internet des marques Linksys, MikroTik, NETGEAR et TP-Link. Certains périphériques de stockage en réseau (NAS) sont connus pour avoir également été ciblés. L’ensemble de ces périphériques infectés par VPNFilter forment de par leur regroupement sous la commande d’un même donneur d’ordre un BotNet IoT (ou réseau d’objets connectés infectés – voir l’article Objets connectés, IoT et BotNet… Pourquoi sommes-nous peut-être à la veille d’une cyber-tempête ?)
VPNFilter est un logiciel malveillant modulaire à plusieurs étages qui peut dérober des informations d’identification et d’accès aux sites Web, surveiller et interférer dans des systèmes de commandes industrielles tels que ceux utilisés dans les réseaux électriques, les autres infrastructures et les usines… Le malware communique sur le réseau d’anonymisation Tor et contient même un « killswitch » pour les routeurs, lui permettant de se tuer délibérément si la connexion anonyme via Tor venait à être coupée. Bref VPNFilter dispose d’un potentiel d’attaque relativement effrayant…
Contrairement à la plupart des autres logiciels malveillants qui ciblent les appareils composant l’IoT (Internet-of-things en anglais, Internet des Objets en français, c’est à dire toutes les caméras, télévisions, cafetières, jouets, routeurs ou autres objets connectés à Internet pour pouvoir communiquer), la première phase de VPNFilter se poursuit par un redémarrage lui permettant de s’installer sur le périphérique infecté, autorisant ensuite le déploiement d’un malware de second niveau composant la charge virale réelle
La recherche étant toujours en cours, les équipes Talos de Cisco n’ont pas de preuve définitive sur la façon dont la menace exploite les périphériques infectés, mais ils croient fermement que VPNFilter n’exploite aucune vulnérabilité zero-day pour infecter ses victimes (vulnérabilité découverte le jour même ou la veille). Au lieu de cela, le logiciel malveillant cible les appareils encore exposés à des vulnérabilités publiques connues depuis longtemps, ou disposant d’informations d’identification par défaut, ce qui rend la prise de contrôle relativement simple.
L’Ukraine serait principalement visée
Les chercheurs de Talos sont convaincus que le gouvernement russe est derrière VPNFilter, ceci parce que le code malveillant est proche de celui du malware BlackEnergy, responsable de multiples attaques à grande échelle ciblant des appareils en Ukraine notamment, que le gouvernement américain a directement attribuées à la Russie. Bien que des périphériques infectés par VPNFilter aient été découverts dans 54 pays, les chercheurs pensent que les pirates ciblent spécifiquement l’Ukraine, suite à une forte augmentation des infections par logiciels malveillants dans le pays le 8 mai dernier.
« Le malware a une capacité destructrice qui peut rendre un appareil infecté inutilisable sur commande. Il peut être déclenché sur des machines individuelles ou en masse, et a le potentiel de couper l’accès à Internet pour des centaines de milliers de victimes dans le monde », a déclaré William Largent, chercheur en cyber-sécurité chez Cisco.
Les chercheurs ont d’ailleurs publié leurs résultats bien avant la fin de leurs recherches, en raison des inquiétudes concernant une attaque imminente contre l’Ukraine, qui a été à plusieurs reprises victime des cyberattaques russes, y compris une panne d’électricité à grande échelle et l’attache du Ransomware NotPetya.
Et si un autre pays était visé ?
Si le centre de commande et de contrôle du malware demandait à tout son réseau de botnets d’envoyer 1.000 requêtes par secondes en direction de sites gouvernementaux, institutionnels ou industriels d’un pays en particulier, ce pourrait être alors 500 millions de requêtes par seconde qui arriveraient sur les infrastructures essentielles ou critiques du pays ciblé, faisant tomber instantanément sous la charge l’ensemble des serveurs visés (gouvernement, finances, intérieur, éducation, industrie, etc…). Selon le niveau d’importance des sites touchés, la paralysie du pays pourrait s’avérer très grave, voire critique ou totale
Et si tout l’internet était visé ?
Pour rendre inopérant tout l’internet d’un seul coup, il suffirait dans l’absolu au réseau des 500.000 botnets de saturer les principaux serveurs DNS répartis dans le monde, en leur envoyant à eux aussi 1.000 requêtes par secondes, les rendant de ce fait inopérants et empêchant alors toute conversion de nom de domaine en adresse IP. Pour comprendre pourquoi cela s’avérerait si grave, il suffit de savoir que lorsque nous tapons dans notre navigateur « google.fr », nous envoyons en réalité à un serveur DNS le nom de domaine « google.fr », le chargeant de retrouver dans ses tables de routage la correspondance entre « google.fr » et l’adresse IP de l’un des serveurs Google en France. L’adressage IP étant la méthode de reconnaissance des serveurs entre eux, sans résolution DNS en cas de saturation par les botnets, le nom envoyé « google.fr » n’obtiendrait aucune adresse IP en retour, et il deviendrait alors impossible à notre navigateur d’afficher la page du moteur de recherche Google, et donc encore moins la réponse à la question posée…
Mais alors, que faire ?
Il est primordial d’être vigilant sur la sécurité des appareils intelligents et connectés. Pour se protéger contre ces attaques de logiciels malveillants, il est impératif de modifier les informations d’identification par défaut des appareils connus comme étant vulnérables : caméras IP dont l’accès à l’interface de configuration se fait par l’identifiant/mot de passe « admin/admin« , routeurs ayant pour accès « root/123456« , etc…
Evidemment, cela ne résoudra pas la grave problématique des 500.000 équipements déjà infectés, laissant pendre au dessus de nos têtes une lourde épée de Damoclès numérique !
Plus d’information :
- VPNFilter : un malware à retardement, intégré à un botnet, et qui scrute votre routeur ?
- Un botnet inquiète l’Ukraine et la finale de la Ligue des Champions
Source : The Hacker News – Researchers unearth a huge botnet army of 500,000 hacked routers