Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur
Publicité
Les logiciels malveillants de routeurs, de périphériques réseau et d’Internet of Things sont de plus en plus courants. La plupart se concentrent sur l'infection des périphériques vulnérables et leur ajout à de puissants réseaux de zombies. Les routeurs et les périphériques Internet des objets (IoT) sont toujours alimentés, toujours en ligne et attendent des instructions. Parfait fourrage botnet, alors.
Mais tous les logiciels malveillants ne sont pas pareils.
VPNFilter constitue une menace malveillante destructrice pour les routeurs, les périphériques IoT et même certains périphériques de stockage connecté au réseau (NAS). Comment vérifiez-vous une infection de malware VPNFilter? Et comment pouvez-vous le nettoyer? Regardons de plus près VPNFilter.
Qu'est-ce que VPNFilter?
VPNFilter est une variante de logiciel malveillant modulaire sophistiquée qui cible principalement les périphériques réseau d'un grand nombre de fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement détecté sur les périphériques réseau Linksys, MikroTik, NETGEAR et TP-Link, ainsi que sur les périphériques NAS QNAP, avec environ 500 000 infections dans 54 pays.
Cisco Talos, l’équipe qui a découvert VPNFilter, a récemment mis à jour les détails relatifs au malware, indiquant que les équipements réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE présentaient désormais des infections par VPNFilter. Cependant, au moment de la rédaction de cet article, aucun périphérique réseau Cisco n'est affecté.
Le logiciel malveillant diffère de la plupart des autres logiciels malveillants axés sur l'IdO, car il persiste après le redémarrage du système, ce qui rend son éradication difficile. Les périphériques qui utilisent leurs informations d'identification de connexion par défaut ou des vulnérabilités jour zéro connues et qui n'ont pas reçu de mises à jour de microprogramme sont particulièrement vulnérables.
Que fait VPNFilter?
VPNFilter est donc une «plate-forme modulaire à plusieurs étages» pouvant endommager les périphériques de manière destructive. En outre, cela peut également constituer une menace pour la collecte de données. VPNFilter fonctionne en plusieurs étapes.
Étape 1: VPNFilter L'étape 1 établit une tête de pont sur le périphérique et contacte son serveur de commande et de contrôle (C & C) afin de télécharger des modules supplémentaires et d'attendre des instructions. L'étape 1 comporte également plusieurs redondances intégrées pour localiser les contrôleurs de domaine de l'étape 2 en cas de changement d'infrastructure pendant le déploiement. Le logiciel malveillant Étape 1 VPNFilter peut également survivre à un redémarrage, ce qui en fait une menace redoutable.
Étape 2: L'étape 2 de VPNFilter ne persiste pas après un redémarrage, mais elle propose une gamme de fonctionnalités plus étendue. L'étape 2 peut collecter des données privées, exécuter des commandes et interférer avec la gestion des périphériques. En outre, il existe différentes versions de Stage 2 dans la nature. Certaines versions sont équipées d'un module destructif qui écrase une partition du microprogramme du périphérique, puis redémarre pour rendre le périphérique inutilisable (le programme malveillant brique le routeur, l'IoT ou le périphérique NAS, en gros).
Étape 3: les modules VPNFilter Stage 3 fonctionnent comme des plugins pour Stage 2, étendant les fonctionnalités de VPNFilter. Un module agit comme un renifleur de paquet qui collecte le trafic entrant sur le périphérique et vole les informations d'identification. Une autre permet au programme malveillant de la phase 2 de communiquer de manière sécurisée à l'aide de Tor. Cisco Talos a également découvert un module qui injecte un contenu malveillant dans le trafic transitant par le périphérique, ce qui signifie que le pirate informatique peut fournir d'autres exploits aux autres périphériques connectés via un routeur, un IoT ou un périphérique NAS.
En outre, les modules VPNFilter «permettent le vol des identifiants de site Web et la surveillance des protocoles Modbus SCADA».
Partage de photos méta
Une autre caractéristique intéressante (mais pas nouvellement découverte) du programme malveillant VPNFilter est son utilisation des services de partage de photos en ligne pour rechercher l'adresse IP de son serveur C & C. L'analyse Talos a révélé que le programme malveillant pointait vers une série d'URL Photobucket. Le logiciel malveillant télécharge sur la première image de la galerie les références URL et extrait une adresse IP de serveur masquée dans les métadonnées de l'image.
L'adresse IP "est extraite de six valeurs entières pour la latitude et la longitude GPS dans les informations EXIF". En cas d'échec, le programme malveillant de la phase 1 revient à un domaine normal (toknowall.com, à propos de ce qui suit) pour télécharger l'image et essayez le même processus.
Reniflage de paquets ciblé
Le rapport actualisé de Talos a révélé des informations intéressantes sur le module de détection de paquets VPNFilter. Plutôt que de simplement tout passer, vous avez un ensemble de règles assez strictes qui ciblent des types de trafic spécifiques. Plus précisément, le trafic des systèmes de contrôle industriels (SCADA) connectés via des VPN TP-Link R600, des connexions à une liste d'adresses IP prédéfinies (indiquant une connaissance avancée d'autres réseaux et du trafic souhaité), ainsi que des paquets de données de 150 octets ou plus grand.
Craig William, responsable de la technologie et responsable international de la sensibilisation chez Talos, a déclaré à Ars: «Ils recherchent des choses très spécifiques. Ils n'essayent pas de générer autant de trafic que possible. Ils recherchent de très petites choses comme les identifiants et les mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, à part que cela semble incroyablement ciblé et incroyablement sophistiqué. Nous essayons toujours de savoir qui ils utilisaient pour cela. "
D'où vient VPNFilter?
VPNFilter serait l’œuvre d’un groupe de piratage informatique parrainé par l’État. Le virus de l'infection initiale de VPNFilter a principalement été ressenti dans l'ensemble de l'Ukraine; ses premiers doigts indiquaient les empreintes digitales à dos russe et le groupe de pirates informatiques, Fancy Bear.
Cependant, la sophistication du logiciel malveillant est telle qu’il n’ya pas de genèse claire et qu’aucun groupe de piratage informatique, national ou autre, ne s’est avancé pour le revendiquer. Compte tenu des règles détaillées relatives aux programmes malveillants et du ciblage du SCADA et d’autres protocoles de systèmes industriels, un acteur État-nation semble le plus probable.
Indépendamment de ce que je pense, le FBI pense que VPNFilter est une création de Fancy Bear. En mai 2018, le FBI a saisi un domaine, ToKnowAll.com, qui aurait servi à installer et à commander les programmes malveillants Étape 2 et Étape 3 VPNFilter. La saisie de domaine a certes permis d’empêcher la propagation immédiate de VPNFilter, mais n’a pas sectionné l’artère principale; l'UKU ukrainien a mis un terme à l'attaque par un VPNFilter d'une usine de traitement de produits chimiques en juillet 2018.
VPNFilter présente également des similitudes avec le programme malveillant BlackEnergy, un cheval de Troie APT utilisé contre un large éventail de cibles ukrainiennes. Là encore, bien que cela soit loin d’être une preuve irréfutable, le ciblage systémique de l’Ukraine découle principalement de groupes de piratage ayant des liens avec la Russie.
Suis-je infecté par VPNFilter?
Les chances sont, votre routeur n'héberge pas le malware VPNFilter. Mais il vaut toujours mieux prévenir que guérir:
- Vérifiez cette liste pour votre routeur. Si vous n'êtes pas sur la liste, tout va bien.
- Vous pouvez vous rendre sur le site Symantec VPNFilter Check. Cochez la case des termes et conditions, puis cliquez sur le bouton Exécuter VPNFilter Check au milieu. Le test se termine en quelques secondes.
Je suis infecté par VPNFilter: que dois-je faire?
Si Symantec VPNFilter Check confirme que votre routeur est infecté, vous avez un plan d'action clair.
- Réinitialisez votre routeur, puis exécutez à nouveau le VPNFilter Check.
- Réinitialisez votre routeur aux paramètres d'usine.
- Téléchargez le dernier micrologiciel de votre routeur et effectuez une nouvelle installation, de préférence sans que le routeur établisse une connexion en ligne au cours du processus.
De plus, vous devez effectuer des analyses complètes du système sur chaque périphérique connecté au routeur infecté.
Vous devez toujours modifier les identifiants de connexion par défaut de votre routeur, ainsi que de tout périphérique IoT ou NAS (les périphériques IoT ne facilitent pas cette tâche. Pourquoi l'Internet des objets est le plus grand cauchemar en matière de sécurité Pourquoi l'internet des objets est le plus grand cauchemar en matière de sécurité Un jour, vous arrivez chez vous après le travail pour découvrir que votre système de sécurité domestique basé sur le cloud a été violé. Comment cela pourrait-il se produire? Avec l'Internet des objets (IoT), vous pourriez trouver la solution la plus difficile. Lire la suite) si possible. . De plus, bien qu'il soit prouvé que VPNFilter peut échapper à certains pare-feu, son installation en est correctement configurée. 7 Conseils simples pour sécuriser votre routeur et votre réseau Wi-Fi en quelques minutes 7 Conseils simples pour sécuriser votre routeur et votre réseau Wi-Fi en quelques minutes et écouter votre trafic Wi-Fi, voler vos mots de passe et vos numéros de carte de crédit? Voulez-vous même savoir si quelqu'un était? Probablement pas, alors sécurisez votre réseau sans fil avec ces 7 étapes simples. Lire plus vous aidera à garder beaucoup d'autres choses désagréables sur votre réseau.
Méfiez-vous des routeurs Malware!
Les logiciels malveillants de routeur sont de plus en plus courants. Les logiciels malveillants et les vulnérabilités liés à l'Internet des objets sont omniprésents et avec le nombre de périphériques mis en ligne, la situation ne fera que s'aggraver. Votre routeur est le point central des données de votre domicile. Pourtant, il ne reçoit pas autant d'attention de sécurité que d'autres appareils.
En termes simples, votre routeur n’est pas sécurisé car vous pensez que 10 façons de le faire ne sont pas aussi sûres que vous ne le pensez 10 raisons que votre routeur n’est pas aussi sûres que vous le pensez Voici 10 façons dont votre routeur peut être exploité par des pirates informatiques et des lecteurs malveillants par les pirates de l'air sans fil. Lire la suite .
En savoir plus sur: Internet des objets, Malware, Sécurité en ligne, Routeur.