Vous êtes dans : Accueil > Tribunes libres >
L'équipe de chercheurs en sécurité Talos (Cisco) annonce la propagation d'un nouveau cheval de Troie baptisé VPNFilter [1]. Plus de 500 000 appareils seraient impactés à travers le monde, dont une majorité en Ukraine.
Ce malware ciblerait des routeursde petites et moyennes structures, ainsi que des serveurs de fichiers (NAS) des constructeursLinksys, MikroTik, NETGEAR, TP-Link, SOHO et QNAP.
Le malware fonctionnerait en 3 étapes, pour le niveau 1, il semblerait qu'il soit capable de modifier le firmware des appareils puisqu'il persiste au redémarrage des appareils. Le niveau 1 permet de prendre racine dans le système d'information et par la suite de déployer le niveau 2 en établissant des connexions à des serveurs C2 [2]. Il serait apparemment capable de s'adapter à des changement de serveurs C2 (listing important pré-établi, DNS, l'article ne nous le dit pas).
Le niveau 2, non persistant, permet la collecte et l'exfiltration de données, mais aussi de contrôler le périphérique infecté, avec la possibilité de le rendre inutilisable.
Selon les chercheurs, il pourrait être envisagé que ce logiciel malveillant soit utilisé pour mener une attaque destructrice à grande échelle. Le CERT US a d’ailleurs ouvert une alerte sur ce sujet [3].
Le niveau 3 se composerait de modules additionnels au niveau 2, permettant d'analyser le trafic et voler des informations, telles que des identifiants et mots de passe, mais aussi de surveiller des protocoles Modbus SCADA, ainsi qu'un module capable d'établir des connexions avec le réseau TOR.
Talos a développé et mis à disposition plus de 100 signatures SNORT pour détecter l'infection[4].
Si vous utilisez SNORT dans vous outils de détection IDS / IPS, pensez vérifier les mises à jour pour savoir si vous êtes impacté.
Le logiciel malveillant n’est pas simple à éradiquer puisque le niveau 1 s’en prend directement au firmware de l’appareil.
Voici les premières recommandations de Talos pour le moment :
Même si la France ne semble pas particulièrement ciblée pour l’instant, soyons prudents et restons sur nos gardes.
[1] https://blog.talosintelligence.com/2018/05/VPNFilter.html
[2] https://en.wikipedia.org/wiki/Botnet#Command_and_control
[3] https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
[4] https://snort.org/advisories/talos-rules-2018-05-22
Les plus lus