Le département de la justice américaine a annoncé le mercredi 23 mai 2018 qu’une cyberattaque d’un groupe de pirates russes aurait infecté plus de 500 000 routeurs dans le monde. Cette attaque, qui serait l’œuvre du groupe de pirates connu sous le nom de Sofacy Group, vise le gouvernement, les militaires, les organismes de sécurité informatique, et bien d’autres. Cette annonce a été faite par John C. Demers (procureur général adjoint pour la sécurité nationale), Scott W. Brady (avocat du district ouest de la Pennsylvanie), Scott Smith (directeur de la division Cyber du FBI), les agents spéciaux du FBI Robert Johnson et David J. LeValley. C’est le même groupe qui serait à l’origine de l’attaque contre le Comité national démocrate lors des élections présidentielles de 2016.
Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPNFilter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l’internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d’un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.
L’attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d’en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d’envoyer des paquets malicieux vers l’appareil détourné pour l’achever. « VPNFilter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l’analyse de l’activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.
De nouvelles informations découvertes sur VPNFilter
La nouvelle analyse, dont Cisco a publié les détails hier, montre que VPNFilter constitue une menace plus importante et cible plus de dispositifs qu’il y a deux semaines. Auparavant, Cisco croyait que l’objectif principal de VPNFilter était d’utiliser des routeurs, des commutateurs et des périphériques de stockage connectés au réseau domestique et aux petites entreprises comme plateforme pour lancer des attaques dissimulées sur des cibles principales. La découverte du module ssler suggère que les propriétaires de routeur eux-mêmes sont une cible clé de VPNFilter.
« Au départ, quand nous avons vu cela, nous pensions qu’il était principalement fait pour des capacités offensives comme le routage des attaques sur Internet », a déclaré Craig Williams, responsable technologique chez Talos, une unité de Cisco. « Mais il semble que [les attaquants] aient complètement évolué au-delà de cela, et maintenant non seulement cela leur permet de le faire, mais ils peuvent manipuler tout ce qui passe par le périphérique compromis. Ils peuvent modifier le solde de votre compte bancaire de sorte qu’il semble normal tout en siphonnant de l’argent et potentiellement des clés PGP et des choses comme ça. Ils peuvent manipuler tout ce qui entre dans et sors de l’appareil ».
De plus, Cisco a découvert que VPNFilter cible plus de marques / modèles d’appareils que prévu initialement et dispose de capacités supplémentaires, notamment la possibilité de livrer des exploits aux terminaux. Les fournisseurs qui s’ajoutent à cette liste sont ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. De nouveaux appareils ont également été découverts chez Linksys, MikroTik, Netgear et TP-Link.
Cisco a également découvert un nouveau module de niveau 3 qui injecte du contenu malveillant dans le trafic Web lorsqu’il passe à travers un périphérique réseau. « Au moment de notre publication initiale, nous ne disposions pas de toutes les informations concernant les modules présumés de niveau 3. Le nouveau module permet à l’acteur de fournir des exploits aux points de terminaison via une capacité man-in-the-middle (par exemple, ils peuvent intercepter le trafic réseau et y injecter du code malveillant sans que l’utilisateur le sache). Avec cette nouvelle découverte, nous pouvons confirmer que la menace va au-delà de ce que l’acteur pourrait faire sur le périphérique réseau lui-même, et étend la menace dans les réseaux pris en charge par un périphérique réseau compromis ». Les détails sur ce module, nommé “ssler” ont été fournis.
De plus, Cisco affirme avoir découvert un module supplémentaire de niveau 3 qui fournit à n’importe quel module de niveau 2 qui n’a pas la commande kill la capacité de désactiver le périphérique. Lorsqu’il est exécuté, ce module supprime spécifiquement les traces du logiciel malveillant VPNFilter de l’appareil, puis rend l’appareil inutilisable. L’analyse de ce module, appelé “dstr”, a été fournie.
Liste des appareils concernés
Williams estime que les modèles supplémentaires mettent 200 000 routeurs supplémentaires dans le monde à risque d’être infectés. La liste complète des appareils ciblés est:
Appareils Asus:
- RT-AC66U (nouveau)
- RT-N10 (nouveau)
- RT-N10E (nouveau)
- RT-N10U (nouveau)
- RT-N56U (nouveau)
- RT-N66U (nouveau)
Périphériques D-Link:
- DES-1210-08P (nouveau)
- DIR-300 (nouveau)
- DIR-300A (nouveau)
- DSR-250N (nouveau)
- DSR-500N (nouveau)
- DSR-1000 (nouveau)
- DSR-1000N (nouveau)
Appareils Huawei :
HG8245 (nouveau)
Dispositifs Linksys:
- E1200
- E2500
- E3000 (nouveau)
- E3200 (nouveau)
- E4200 (nouveau)
- RV082 (nouveau)
- WRVS4400N
Appareils Mikrotik:
- CCR1009 (nouveau)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (nouveau)
- CRS112 (nouveau)
- CRS125 (nouveau)
- RB411 (nouveau)
- RB450 (nouveau)
- RB750 (nouveau)
- RB911 (nouveau)
- RB921 (nouveau)
- RB941 (nouveau)
- RB951 (nouveau)
- RB952 (nouveau)
- RB960 (nouveau)
- RB962 (nouveau)
- RB1100 (nouveau)
- RB1200 (nouveau)
- RB2011 (nouveau)
- RB3011 (nouveau)
- RB Groove (nouveau)
- RB Omnitik (nouveau)
- STX5 (nouveau)
Appareils Netgear:
- DG834 (nouveau)
- DGN1000 (nouveau)
- DGN2200
- DGN3500 (nouveau)
- FVS318N (nouveau)
- MBRN3000 (nouveau)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (nouveau)
- WNR4000 (nouveau)
- WNDR3700 (nouveau)
- WNDR4000 (nouveau)
- WNDR4300 (nouveau)
- WNDR4300-TN (nouveau)
- UTM50 (nouveau)
Périphériques QNAP:
TS251
TS439 Pro
Autres périphériques NAS QNAP exécutant le logiciel QTS
Dispositifs TP-Link:
- R600VPN
- TL-WR741ND (nouveau)
- TL-WR841N (nouveau)
Périphériques Ubiquiti:
- NSM2 (nouveau)
- PBE M5 (nouveau)
Périphériques Upvel:
Modèles inconnus * (nouveau)
Appareils ZTE:
ZXHN H108N (nouveau)
Source : Talos