Des centaines de milliers de routeurs et autres dispositifs de stockage ont été infectés et piratés par des cybercriminels dans une «attaque qui a visé l’Ukraine», mais qui a touché pas moins de 54 autres pays. L’alerte a été lancée le 23 mai par la société Cisco Talos Intelligence, une filiale de l’américain Cisco Systems, spécialisée dans la sécurité des réseaux. Si les conclusions de l’enquête n’étaient pas définitives, elles ont permis une réaction rapide. Le FBI a annoncé, cinq jours plus tard, avoir pris le contrôle du botnet massif qui a infecté plus de 500 000 routeurs.
Talos enquête depuis plusieurs mois, en collaboration avec différents acteurs de la cyber-sécurité, sur la diffusion d’un «système malveillant modulaire appelé VPNFilter», probablement «parrainé par un Etat» qui a infecté des centaines de milliers de routeurs et d’objets connectés. Sur son blog, la société explique que le code de ce malware «se chevauche avec les versions du malware BlackEnergy», un puissant virus responsable de la coupure générale d’électricité en Ukraine en 2017. Même constat : VPNFilter est un «malware potentiellement destructeur», qui «infecte activement les routeurs ukrainiens à un rythme alarmant, en utilisant une infrastructure de commandement et de contrôle (C2) dédiée à ce pays», indique Talos sur son blog.
Selon la filiale de Cisco, «l’échelle et la capacité de cette opération sont préoccupantes». «En collaboration avec nos partenaires, nous estimons le nombre d’appareils infectés à au moins 500 000 dans au moins 54 pays», lit-on dans le document. Plusieurs équipements de réseaux sont infectés par VPNFilter. Il s’agit des marques de routeurs domestiques et de bureaux : Linksys, MikroTik NETGEAR et TP-Link. Mais également des dispositifs de stockage en réseau (NAS) de la marque taiwanaise QNAP.
Décrivant le comportement «préoccupant» de ces logiciels «malveillants» sur les équipements réseau, Talos affirme que VPNFilter permet «le vol d’informations d’identification de sites Web et la surveillance des protocoles Modbus SCADA (Contrôle de supervision et d’acquisition de données). Sa capacité ‘’destructrice’’ peut ‘’rendre inutilisable un dispositif infecté’’ avec le ‘’potentiel de couper l’accès à internet pour des centaines de milliers de victimes à travers le monde’’».
Selon les conclusions de l’enquête (qui est encore ouverte), VPNFilter «est utilisé pour créer une infrastructure expansive, difficile à attribuer, qui peut être utilisée pour répondre aux multiples besoins opérationnels de l’acteur de la menace».
En prenant possession des équipements infectés, les «activités malveillantes (…) pourraient être attribuées à tort à ceux qui en sont, en fait, des victimes», explique le document. «L’acteur (de la menace) pourrait facilement utiliser des périphériques infectés avec ce malware comme points de saut avant de se connecter à sa victime finale afin de brouiller leur vrai point de départ de l’attaque.»Le domaine source démasqué
Selon The Hacker News, le département américain de la sécurité intérieure (Homeland Security) «a affirmé qu’il enquêtait sur les logiciels malveillants qui semblent avoir ciblé les appareils de Netgear, MikroTik, Linksys, QNAP et TP-Link». «Il a également conseillé aux utilisateurs d’installer des mises à jour de sécurité», ajoute le site spécialisé dans les questions de piratage et de sécurité.
De son côté, le FBI a «publié un avertissement» accusant des «criminels informatiques russes» d’être à l’origine de cette attaque qui a compromis des centaines de milliers de routeurs domestiques et de bureaux. Le FBI a exhorté, vendredi dernier, les utilisateurs à «télécharger les mises à jour» des fabricants de ces marques de routeurs
Une ordonnance d’un tribunal américain a donné au FBI l’autorisation de saisir tout site Web que les pirates auraient pu utiliser dans le cadre d’un botnet.
L’enquête mène vers un groupe nommé Sofacy, «connu sous le nom d’APT28 et Fancy Bear» et «affilié au gouvernement russe», rapporte The Hacker News.
Le FBI affirme avoir saisi le domaine «qui fait partie de l’infrastructure de commande et de contrôle de VPNFilter», ainsi qu’à identifier «l’adresse IP des périphériques infectés» et «transmettre aux autorités du monde entier pour supprimer le malware». Selon un officiel du FBI, cité par The Hacker News, les types de routeurs ciblés par les pirates informatiques ont été acquis par les utilisateurs dans des magasins en ligne.
A. Z.
