Les capacités de destruction et de MiTM du malware VPNFilter dévoilées

Il s’avère que la menace que représente l’énorme malware botnet VPNFilter, découvert tardivement le mois dernier, soit plus grande que ce que nous pensions initialement.

Les chercheurs en sécurité de la cyber intelligence Talos de Cisco ont dévoilé aujourd’hui plus de détails sur le malware VPNFilter, un élément évolué du malware botnet IoT qui a infecté plus de 500 000 routeurs dans au moins 54 pays, permettant aux attaquants d’espionner les utilisateurs, en plus de conduire des cybers opérations de destruction.

Initialement, on pensait que le malware ciblait les routeurs et les stockages en réseau de Linksys, MikroTik, NETGEAR et TP-Link, mais une analyse plus poussée menée par les chercheurs révèle que le VPNFilter attaque aussi les appareils produits par ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEN et ZTE.

« Dans un premier temps, nous avons déterminés que ces vendeur étaient ciblés par cet acteur, ainsi que certains des vendeurs nouvellement ajoutés sur la liste. De nouveaux appareils ont aussi été découverts de Linksys, MikroTik, Netgear et TP-Link » ont déclaré les chercheurs.

Pour pirater les appareils produits par la liste de vendeurs affectés nommés ci-dessus, le malware compte simplement sur des vulnérabilités connues publiquement ou utilise des informations de connexion par défaut, au lieu d’exploiter des vulnérabilités à zéro jour.

VPNFilter « ssler »- Le module d’attaque de l’homme du milieu

En outre, les chercheurs ont principalement partagé des détails techniques sur un nouveau module de niveau 3, nommé « ssler », qui est un analyseur de packet réseau avancé qui, s’il est installé, permet aux hackers d’intercepter le trafic réseau passant via un routeur infecté et d’envoyer des charges malveillantes en utilisant des attaques de l’homme du milieu.

« Le module ssler fournit des fonctionnalités d’extraction de données et d’injection de JavaScript en interceptant tout le trafic qui passe à travers l’appareil destiné au port 80, » ont déclaré les chercheurs.

Le module de niveau 3 rend aussi le malware capable de maintenir une présence persistante sur un appareil infecté, même après un reboot.

Le module ssler a été conçu pour fournir des charges malveillantes personnalisées pour des appareils spécifiques connectés au réseau infecté en utilisant une liste de paramètres, qui définit le comportement du module et quels sites web doivent être ciblés.

Ces paramètres incluent des réglages pour définir la localisation d’un dossier sur l’appareil où les données volées doivent être stockées, la source et la destination de l’adresse IP pour créer des règles iptables, ainsi que l’URL ciblée par l’injection JavaScript.

Pour paramétrer le sniffage de packet pour toutes les requêtes web sortantes sur le port 80, le module configure les iptables de l’appareil immédiatement après son installation pour rediriger tout le trafic réseau destiné au port 88 vers son service local d’écoute sur le port 8888.

« Pour s’assurer que ses règles ne soient pas retirées, ssler les supprime et ensuite les ajoute environ toutes les 4 minutes » expliquent les chercheurs.

Pour cibler les requêtes HTTPS, le module ssler procède à une attaque SSLStrip, c’est-à-dire qu’il rétrograde les connections HTTPS en HTTP, forçant les navigateurs web des victimes à communiquer du HTTP en clair.

VPNFilter « dstr »- Le module de destruction de l’appareil

Comme nous l’avons expliqué dans notre article précédent, VPNFilter a aussi une capacité de destruction (module dstr) qui peut être utilisée pour rendre l’appareil infecté inutilisable en supprimant les fichiers nécessaires au fonctionnement de l’exploitation de l’appareil.

Le malware déclenche un killswitch pour les routeurs, où il se détruit d’abord lui-même délibérément, avant de supprimer le reste des fichiers présents sur le système [nommés vpnfilter, security et tor], potentiellement dans une tentative pour dissimuler sa présence face à une analyse poussée.

Cette capacité peut être déclenchée sur les machines de particuliers ou en masse, coupant ainsi l’accès à internet à potentiellement des centaines de milliers de victimes à travers le monde.

Simplement rebooter votre routeur n’est pas suffisant

Malgré la saisie par la FBI d’un serveur clé de commande et de contrôle juste après la découverte de VPNFilter, le botnet reste actif, du fait de sa conception polyvalente et à niveaux multiples.

Le niveau 1 du malware peut survivre à un reboot, ce qui lui permet de s’implanter de manière persistance sur l’appareil infecté et d’activer le déploiement des niveaux 2 et 3 du malware. Ainsi, chaque fois qu’un appareil est relancé, les niveaux 2 et 3 sont réinstallés sur l’appareil.

Cela veut dire que, même après la saisie du serveur C&C de VPNFilter par le FBI, des centaines de milliers d’appareils déjà infectés par le malware, restent probablement infectés par le niveau 1, qui installe ensuite les niveaux 2 et 3.

Par conséquent, seulement rebooter n’est pas suffisant pour retirer complètement le malware VPNFilter des appareils infectés, et les propriétaires particuliers de routeurs, de commutateurs et d’appareils de stockage en réseau doivent prendre des mesures supplémentaires, qui varient d’un modèle à l’autre. Ce faisant, il est conseillé aux propriétaires de routeurs de contacter le fabricant de leur appareil.

Pour certains appareils, la réinitialisation du routeur aux paramètres d’usine peut supprimer le malware potentiellement destructeur, en supprimant le niveau 1, alors que d’autres appareils peuvent être débarrassés avec un simple reboot, suivi par une mise à jour du firmware de l’appareil.

Et comme je l’ai dit précédemment, prenez bien note du fait suivant : si votre routeur ne peut être mis à jour, jetez-le et achetez-en un autre. Votre sécurité et votre vie privée valent bien le prix d’un routeur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *