Site icon Sophos News

VPNFilter : un malware à retardement, intégré à un botnet, et qui scrute votre routeur ?

botnet

Merci à Cisco Talos et à la Cyber Threat Alliance pour avoir fourni aux chercheurs des SophosLabs un accès rapide à des exemples et à des informations sur ce malware.

Les chercheurs du Cisco Talos viennent de publier un rapport à propos d’un botnet IoT géant, appelé VPNFilter.

Voici quelques explications.

IoT est l’abréviation de l’Internet des objets (Internet of things), et fait référence à tous les objets connectés à internet faisant partie de nos vies, et qui sont tellement petits, bon marché, et omniprésents au quotidien, que nous avons oublié qu’ils sont avant tout de minuscules ordinateurs, tout comme nos ordinateurs portables et nos téléphones mobiles.

Il en résulte que ces objets connectés sont peu ou pas concernés par la cybersécurité pendant les phases de conception, d’expédition et d’installation.

Un botnet, quant à lui, fait référence à un réseau de robots, également connu sous le nom de réseau de zombies.

C’est à ce niveau que des cybercriminels installent leurs malwares sur des milliers, voire des centaines de milliers d’ordinateurs en même temps, de telle sorte qu’ils peuvent secrètement envoyer des commandes programmées à chacun d’entre eux, les uns après les autres, ou à tous en même temps.

Comment fonctionnent les bots

En règle générale, chaque bot au sein d’un botnet effectue régulièrement des call-home, en utilisant une sorte de requête réseau, vers un ou plusieurs serveurs exploités par les cybercriminels.

Grâce à ces call-home, chaque ordinateur zombie récupère des instructions sur la suite des actions à mener, des instructions qui incluent souvent des commandes telles que “voici un nouveau module logiciel à installer et à ajouter à votre belle collection d’outils malveillants”.

En d’autres termes, un botnet est non seulement capable de monter des attaques simultanées à grande échelle, et ce partout dans le monde, mais il peut également s’adapter et se mettre à jour, pour inclure des fonctionnalités malveillantes, que les cybercriminels auront envie d’ajouter ultérieurement.

Dans certains cas, et le malware VPNFilter fraichement arrivé en est un exemple, les zombies incluent une commande spéciale pour mettre en place ce que l’on pourrait appeler une stratégie “foutez le camp, les flics arrivent !”, où le malware se tue délibérément en tuant parfois également l’appareil sur lequel il fonctionne.

Non seulement VPNFilter inclut une commande kill, mais, selon Cisco, la commande kill écrase volontairement la mémoire flash de l’appareil concerné.

Les routeurs domestiques ne peuvent parfois plus être utilisés après l’effacement de leur mémoire flash (du moins c’est le cas, si aucun connecteur spécifique n’a été soudé sur la carte mère ou bien si aucune modification hardware interne et fastidieuse n’a été effectuée au préalable), car le logiciel de démarrage nécessaire pour récupérer l’appareil est stocké lui-même dans la mémoire flash !

Des équipements dans cet état sont considérés comme étant “brickés“, une métaphore pour illustrer le fait que ces derniers ont à présent l’utilité d’une brique, à savoir que vous pouvez les utiliser pour maintenir une porte ouverte, mais c’est à peu près tout !

Lorsque les SophosLabs ont examiné ce malware, ils ont constaté que la commande kill arrêtait instantanément le bot, mais n’a pas essayé de nettoyer l’appareil. Le code d’effacement instantané était présent dans le code malveillant compilé, mais jamais utilisé. Vous pouvez lire l’analyse complète du botnet VPNFilter menée par les SophosLabs sur le site Web de Sophos News.  

Le malware VPNFilter inclut également un composant de mise à jour automatique permettant à ses fonctionnalités d’être mises à jour à volonté. L’un des modules add-on malveillant trouvé jusqu’à présent s’appelle un renifleur de paquets (packet sniffer).

Les renifleurs puisent dans le logiciel réseau du système d’exploitation afin de pouvoir surveiller les paquets réseau, à la recherche de données intéressantes au sein de tout trafic réseau non chiffré.

VPNFilter recherche différents modèles de données, y compris les requêtes web associées à des vulnérabilités connues, les demandes de connexion qui font référence à des pages web protégées par mot de passe mais pour lesquelles ce dernier est vide, et enfin le trafic web non chiffré pouvant contenir des identifiants et des mots de passe.

Quoi faire ?

Le problème avec les objets connectés tels que les routeurs est qu’ils sont directement connectés à internet, et ce par conception. Dans le cadre d’une utilisation domestique, ils agissent comme un modem internet combiné (d’un côté, branchés à la ligne téléphonique), un routeur (d’un autre côté, branchés sur le réseau local), un pare-feu et un point d’accès sans fil.

Pourtant, de nombreux routeurs sont en réalité de véritables “boites noires”, un peu comme un iPhone : à savoir que vous n’êtes pas censé pouvoir accéder aux fichiers, modifier le logiciel, faire vos propres réglages, ou appliquer vos propres mises à jour ou améliorations.

Certains FAI insistent pour que vous utilisiez leurs routeurs pour accéder à leur service, de sorte que vous ne pouvez même pas changer le modèle de routeur qu’ils vous ont fourni pour un autre de votre choix.

Néanmoins, quel que soit le routeur que vous utilisez à la maison ou dans votre entreprise, il est grand temps de tester la santé de votre routeur !

N’attendez pas davantage, faites-le dès aujourd’hui !

En passant, et selon nous, effectuer une mise à jour du firmware sur de nombreux routeurs domestiques effacera le malware VPNFilter, ainsi que de nombreuses autres souches de malwares ciblant les routeurs.

En d’autres termes, même si vous êtes déjà à jour et ne pensez pas que votre appareil soit infecté, un rafraichissement du firmware vous procurera une double tranquillité d’esprit : votre routeur sera à jour et en bonne santé !

Vous voulez utiliser un VPN à la maison pour plus de sécurité, de sorte à fournir une protection interne, et ce du début à la fin, à votre routeur IoT, sans être reniflé en route par des malwares ? Si vous avez un ordinateur de rechange à portée de main, pourquoi ne pas essayer Sophos XG Firewall Home Edition ? Vous pouvez obtenir une licence gratuite pour toutes les fonctionnalités offertes par ce produit, y compris l’antivirus, le filtrage web, la sécurité de la messagerie, la prévention contre les intrusions, ainsi qu’un VPN complet.


Billet inspiré de VPNFilter – is a malware timebomb lurking on your router?, sur Sophos nakedsecurity.

Exit mobile version