Merci à Cisco Talos et à la Cyber Threat Alliance pour avoir fourni aux chercheurs des SophosLabs un accès rapide à des exemples et à des informations sur ce malware.
Les chercheurs du Cisco Talos viennent de publier un rapport à propos d’un botnet IoT géant, appelé VPNFilter.
Voici quelques explications.
IoT est l’abréviation de l’Internet des objets (Internet of things), et fait référence à tous les objets connectés à internet faisant partie de nos vies, et qui sont tellement petits, bon marché, et omniprésents au quotidien, que nous avons oublié qu’ils sont avant tout de minuscules ordinateurs, tout comme nos ordinateurs portables et nos téléphones mobiles.
Il en résulte que ces objets connectés sont peu ou pas concernés par la cybersécurité pendant les phases de conception, d’expédition et d’installation.
Un botnet, quant à lui, fait référence à un réseau de robots, également connu sous le nom de réseau de zombies.
C’est à ce niveau que des cybercriminels installent leurs malwares sur des milliers, voire des centaines de milliers d’ordinateurs en même temps, de telle sorte qu’ils peuvent secrètement envoyer des commandes programmées à chacun d’entre eux, les uns après les autres, ou à tous en même temps.
Comment fonctionnent les bots
En règle générale, chaque bot au sein d’un botnet effectue régulièrement des call-home, en utilisant une sorte de requête réseau, vers un ou plusieurs serveurs exploités par les cybercriminels.
Grâce à ces call-home, chaque ordinateur zombie récupère des instructions sur la suite des actions à mener, des instructions qui incluent souvent des commandes telles que “voici un nouveau module logiciel à installer et à ajouter à votre belle collection d’outils malveillants”.
En d’autres termes, un botnet est non seulement capable de monter des attaques simultanées à grande échelle, et ce partout dans le monde, mais il peut également s’adapter et se mettre à jour, pour inclure des fonctionnalités malveillantes, que les cybercriminels auront envie d’ajouter ultérieurement.
Dans certains cas, et le malware VPNFilter fraichement arrivé en est un exemple, les zombies incluent une commande spéciale pour mettre en place ce que l’on pourrait appeler une stratégie “foutez le camp, les flics arrivent !”, où le malware se tue délibérément en tuant parfois également l’appareil sur lequel il fonctionne.
Non seulement VPNFilter inclut une commande kill, mais, selon Cisco, la commande kill écrase volontairement la mémoire flash de l’appareil concerné.
Les routeurs domestiques ne peuvent parfois plus être utilisés après l’effacement de leur mémoire flash (du moins c’est le cas, si aucun connecteur spécifique n’a été soudé sur la carte mère ou bien si aucune modification hardware interne et fastidieuse n’a été effectuée au préalable), car le logiciel de démarrage nécessaire pour récupérer l’appareil est stocké lui-même dans la mémoire flash !
Des équipements dans cet état sont considérés comme étant “brickés“, une métaphore pour illustrer le fait que ces derniers ont à présent l’utilité d’une brique, à savoir que vous pouvez les utiliser pour maintenir une porte ouverte, mais c’est à peu près tout !
Lorsque les SophosLabs ont examiné ce malware, ils ont constaté que la commande kill arrêtait instantanément le bot, mais n’a pas essayé de nettoyer l’appareil. Le code d’effacement instantané était présent dans le code malveillant compilé, mais jamais utilisé. Vous pouvez lire l’analyse complète du botnet VPNFilter menée par les SophosLabs sur le site Web de Sophos News.
Le malware VPNFilter inclut également un composant de mise à jour automatique permettant à ses fonctionnalités d’être mises à jour à volonté. L’un des modules add-on malveillant trouvé jusqu’à présent s’appelle un renifleur de paquets (packet sniffer).
Les renifleurs puisent dans le logiciel réseau du système d’exploitation afin de pouvoir surveiller les paquets réseau, à la recherche de données intéressantes au sein de tout trafic réseau non chiffré.
VPNFilter recherche différents modèles de données, y compris les requêtes web associées à des vulnérabilités connues, les demandes de connexion qui font référence à des pages web protégées par mot de passe mais pour lesquelles ce dernier est vide, et enfin le trafic web non chiffré pouvant contenir des identifiants et des mots de passe.
Quoi faire ?
Le problème avec les objets connectés tels que les routeurs est qu’ils sont directement connectés à internet, et ce par conception. Dans le cadre d’une utilisation domestique, ils agissent comme un modem internet combiné (d’un côté, branchés à la ligne téléphonique), un routeur (d’un autre côté, branchés sur le réseau local), un pare-feu et un point d’accès sans fil.
Pourtant, de nombreux routeurs sont en réalité de véritables “boites noires”, un peu comme un iPhone : à savoir que vous n’êtes pas censé pouvoir accéder aux fichiers, modifier le logiciel, faire vos propres réglages, ou appliquer vos propres mises à jour ou améliorations.
Certains FAI insistent pour que vous utilisiez leurs routeurs pour accéder à leur service, de sorte que vous ne pouvez même pas changer le modèle de routeur qu’ils vous ont fourni pour un autre de votre choix.
Néanmoins, quel que soit le routeur que vous utilisez à la maison ou dans votre entreprise, il est grand temps de tester la santé de votre routeur !
N’attendez pas davantage, faites-le dès aujourd’hui !
- Rapprochez-vous de votre FAI, afin de savoir comment obtenir une mise à jour du firmware pour votre routeur. De nombreux routeurs reçoivent des mises à jour de sécurité, au moins de temps en temps, mais elles ne sont souvent pas téléchargées ou installées automatiquement. Vous devez généralement vous connecter à la console d’administration et cliquer sur un bouton
[Vérifier maintenant]. Si vous vivez dans un pays avec l’heure d’été, pourquoi ne pas faire une mise à jour de tous vos objets connectés à chaque fois que les horloges changent d’heure ? Les cybercriminels font régulièrement des recherches sur internet pour trouver des routeurs qui ont des failles de sécurité non patchées, et qu’ils savent déjà exploiter. Ne facilitez pas la vie des cybercriminels qui cherchent à installer des malwares sur vos équipements : patchez maintenant, patchez souvent ! - Désactivez l’administration à distance sauf si vous en avez vraiment besoin. De nombreux routeurs vous permettent d’accéder à l’interface d’administration via la connexion internet et LAN de l’appareil. Certains routeurs sont même configurés ainsi, sortis d’usine. Les cybercriminels effectuent régulièrement des recherches sur internet pour trouver des écrans de connexion qui ne sont pas censés être visibles et qui sont donc moins susceptibles d’être correctement sécurisés. Ne facilitez pas la vie des cybercriminels en leur permettant d’accéder à vos appareils et de deviner votre mot de passe.
- Choisissez des mots de passe sécurisés. De nombreux routeurs sont livrés avec un mot de passe administrateur prédéfini, et certains routeurs ne vous forcent pas à choisir un nouveau mot de passe lors de la première configuration. Les cybercriminels ont des listes complètes d’identifiants et de mots de passe par défaut pour toutes sortes d’objets connectés. Ne donnez pas aux cybercriminels les clefs de votre domicile en conservant un mot de passe facile à deviner.
- Pour la navigation sur internet, optez le plus possible pour les connexions sécurisées HTTPS. En règle générale, les connexions web qui apparaissent avec un cadenas dans votre navigateur sont chiffrées de bout en bout, de sorte qu’elles ne peuvent pas être interceptées en cours de route par un équipement internet non fiable, que cela soit dû à une infection par un malware, un FAI malveillant sur votre chemin réseau, ou un pays adepte de la surveillance et que votre trafic traverserait.
En passant, et selon nous, effectuer une mise à jour du firmware sur de nombreux routeurs domestiques effacera le malware VPNFilter, ainsi que de nombreuses autres souches de malwares ciblant les routeurs.
En d’autres termes, même si vous êtes déjà à jour et ne pensez pas que votre appareil soit infecté, un rafraichissement du firmware vous procurera une double tranquillité d’esprit : votre routeur sera à jour et en bonne santé !
Vous voulez utiliser un VPN à la maison pour plus de sécurité, de sorte à fournir une protection interne, et ce du début à la fin, à votre routeur IoT, sans être reniflé en route par des malwares ? Si vous avez un ordinateur de rechange à portée de main, pourquoi ne pas essayer Sophos XG Firewall Home Edition ? Vous pouvez obtenir une licence gratuite pour toutes les fonctionnalités offertes par ce produit, y compris l’antivirus, le filtrage web, la sécurité de la messagerie, la prévention contre les intrusions, ainsi qu’un VPN complet.
Billet inspiré de VPNFilter – is a malware timebomb lurking on your router?, sur Sophos nakedsecurity.