VPNFilter: une nouvelle armée de botnets IoT affectant 500 000 appareils dans le monde

Des chercheurs de l'unité de cyberrenseignement de Talos de Cisco ont découvert un nouveau malware, dénommé VPNFilter. Il s'agit d'un système malveillant modulaire qui se propage en plusieurs étapes. VPNFilter permettrait le vol d'informations d'identification de site Web et la surveillance des protocoles Modbus SCADA. 

Au moins 500 000 appareils se situant dans 54 pays seraient infectés. Les dispositifs connus affectés par VPNFilter sont les équipements de commutations réseau Linksys, MikroTik, NETGEAR et TP-Link souvent situés dans de petits bureaux ou des bureaux à domicile (SOHO), ainsi que sur les dispositifs de stockage réseau (NAS) QNAP.

Les chercheurs n'ont pas encore de preuve définitive sur la façon dont VPNFilter exploite les périphériques affectés. Il ciblerait les appareils vulnérables à des failles publiques connues ou disposant d'informations d'identification par défaut.

Phases de propagation du Malware

VPNFilter poursuit une infection en trois étapes;

  • L'étape 1: Lors de l'étape 1, le malware installe et configure les éléments lui permettant d'être persistant et de préparer l'étape 2;
  • L'étape 2: Le malware à ce niveau se concentre sur la collecte de fichiers, l'exécution de commandes, l'extraction de données et la gestion des périphériques. Certaines versions possèdent une capacité d'auto-destruction qui écrase une partie critique du micrologiciel de l'appareil et redémarre l'appareil, le rendant inutilisable.
  • L'étape 3: Dans cette étape, l'outil installe deux modules permettant de collecter le trafic qui traverse l'appareil, y compris le vol des informations d'identification et la surveillance des protocoles Modbus SCADA.
Recommandations
+

Il est recommandé en cas d'infection de réinitialiser la configuration des modules et de mettre à jour les firmwares. Il est également conseillé de placer les routeurs derrière un pare-feu et désactiver l'administration à distance sauf en cas du besoin.

Le blog de Talos a fourni d'amples détails techniques sur les étapes d'infection et d'exploit ainsi que des recommandations bien spécifiques pour se prémunir contre VPNFilter.