Fonctionnalités destructives et MiTM des logiciels malveillants VPNFilter révélés

Il s’avère que la menace de l’énorme malware de botnet VPNFilter qui a été découvert à la fin du mois dernier est au-delà de ce que nous pensions initialement.

Les chercheurs en sécurité de la cyberintelligence Talos de Cisco ont découvert plus de détails sur les logiciels malveillants VPNFilter, un élément avancé du malware botnet IoT qui a infecté plus de 500 000 routeurs dans au moins 54 pays, permettant aux pirates d’espionner les utilisateurs et de mener des opérations cyber destructrices.

Initialement, on pensait que le malware ciblait les routeurs et le stockage en réseau de Linksys, MikroTik, NETGEAR et TP-Link, mais une analyse plus approfondie menée par des chercheurs révèle que le VPNFilter pirate également les appareils fabriqués par ASUS, D- Lien, Huawei, Ubiquiti, QNAP, UPVEL et ZTE.

"Tout d’abord, nous avons déterminé que sont ciblés par cet acteur, y compris certains des fournisseurs qui sont nouveaux à la liste cible.Ces nouveaux fournisseurs sont.Les nouveaux appareils ont également été découverts de Linksys, MikroTik, Netgear, et TP-Lin," le les chercheurs disent.

Pour détourner des appareils fabriqués par des fournisseurs concernés listés ci-dessus, le logiciel malveillant se fonde simplement sur des vulnérabilités connues du public ou utilise des informations d’identification par défaut, au lieu d’exploiter les vulnérabilités du jour zéro.

VPNFilter ’ssler’ - Module d’attaque de l’homme dans le milieu

En outre, les chercheurs ont principalement partagé des détails techniques sur un nouveau module, appelé "ssler", qui est un sniffeur de paquets réseau avancé qui, s’il est installé, permet aux pirates d’intercepter le trafic réseau via un routeur infecté. dans le milieu des attaques.

"Le module Ssler fournit des fonctionnalités d’exfiltration de données et d’injection JavaScript en interceptant tout le trafic qui passe à travers l’appareil destiné au port 80", indiquent les chercheurs.

Ce module de troisième niveau rend également le malware capable de maintenir une présence persistante sur un périphérique infecté, même après un redémarrage.
Le module ssler a été conçu pour fournir des charges utiles malveillantes personnalisées pour des périphériques spécifiques connectés au réseau infecté à l’aide d’une liste de paramètres, qui définit le comportement du module et les sites Web à cibler.

Ces paramètres incluent les paramètres permettant de définir l’emplacement d’un dossier sur le périphérique où les données volées doivent être stockées, l’adresse IP source et de destination pour la création de règles iptable, ainsi que l’URL cible de l’injection JavaScript.

Pour configurer le reniflage de paquets pour toutes les demandes Web sortantes sur le port 80, le module configure les iptables du périphérique immédiatement après son installation pour rediriger tout le trafic réseau destiné au port 80 vers son service local d’écoute sur le port 8888.

"Pour s’assurer que ces règles ne sont pas supprimées, ssler les supprime et les rajoute environ toutes les quatre minutes", expliquent les chercheurs.

Pour cibler les requêtes HTTPS, le module ssler effectue également une attaque SSLStrip, c’est-à-dire qu’il rétrograde les connexions HTTPS vers HTTP, forçant ainsi les navigateurs Web victimes à communiquer via HTTP en clair.

VPNFilter ’dstr’ - Module de destruction de périphérique

Comme nous l’avons expliqué dans notre article précédent, VPNFilter a également une capacité destructrice (module dstr) qui peut être utilisée pour rendre un périphérique infecté inutilisable en supprimant les fichiers nécessaires au fonctionnement normal du périphérique.

Le malware déclenche un killswitch pour les routeurs, où il se tue d’abord délibérément, avant de supprimer le reste des fichiers sur le système [nommés vpnfilter, security, et tor], peut-être dans le but de cacher sa présence pendant l’analyse légale.

Cette capacité peut être déclenchée sur des machines individuelles ou en masse, coupant potentiellement l’accès à Internet pour des centaines de milliers de victimes dans le monde entier.

Simplement redémarrer votre routeur ne suffit pas

Malgré la saisie par le FBI d’un serveur clé de commande et de contrôle juste après la découverte de VPNFilter, le botnet reste actif, grâce à sa conception polyvalente et multi-étapes.

La phase 1 du programme malveillant peut survivre à un redémarrage, ce qui lui permet de s’implanter de manière persistante sur le périphérique infecté et de permettre le déploiement des programmes malveillants des étapes 2 et 3. Ainsi, chaque fois qu’un périphérique infecté est redémarré, les étapes 2 et 3 sont réinstallées sur le périphérique.

Cela signifie que même après que le FBI ait saisi le serveur clé C & C de VPNFilter, des centaines de milliers d’appareils déjà infectés par le malware restent probablement infectés par l’étape 1, qui installe ensuite les étapes 2 et 3.

Par conséquent, redémarrer seul n’est pas suffisant. supprimer le logiciel malveillant VPNFilter des périphériques infectés, et les propriétaires de routeurs, commutateurs et périphériques de stockage connectés au réseau doivent prendre des mesures supplémentaires, qui varient d’un modèle à l’autre. Pour cela, les propriétaires de routeur sont invités à contacter leur fabricant.

Pour certains périphériques, la réinitialisation des routeurs aux valeurs d’usine par défaut peut supprimer le malware potentiellement destructeur, en supprimant l’étape 1, tandis que certains périphériques peuvent être nettoyés avec un redémarrage simple, suivi de la mise à jour du firmware de l’appareil.

Et comme je l’ai dit plus tôt, marquez encore ces mots : si votre routeur ne peut pas être mis à jour, jetez-le et achetez-en un nouveau. Votre sécurité et votre vie privée valent plus que le prix d’un routeur.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image