Le FBI prend le contrôle d’un botnet massif qui a infecté plus de 500 000 routeurs

Peu de temps après que Cisco a publié son premier rapport sur une campagne de piratage à grande échelle qui a infecté plus d’un demi-million de routeurs et de périphériques de stockage réseau dans le monde, le gouvernement américain a annoncé le retrait d’un domaine Internet clé.

Hier, nous avons parlé d’un malware de botnet IoT hautement sophistiqué qui a infecté plus de 500 000 appareils dans 54 pays et qui a probablement été conçu par un groupe parrainé par l’État russe dans le but de semer la zizanie en Ukraine, selon un rapport publié par Cisco. Unité de cyber-renseignement Talos mercredi.

Surnommé VPNFilter par les chercheurs de Talos, le malware est une plate-forme modulaire multi-étapes qui cible les routeurs et les périphériques de stockage SOHO (Small and Home Offices) de Linksys, MikroTik, NETGEAR et TP-Link, ainsi que le stockage NAS (Network-Access Storage). dispositifs.

Pendant ce temps, les documents judiciaires non scellés à Pittsburgh le même jour indiquent que le FBI a saisi un domaine web clé communiquant avec un botnet mondial massif de centaines de milliers de routeurs SOHO infectés et d’autres dispositifs NAS.
Les documents de la cour indiquent que le groupe de piratage derrière la campagne massive de logiciels malveillants est Fancy Bear , un groupe de piratage aligné par le gouvernement russe également connu sous le nom de APT28 , Sofacy, X-agent , Sednit, Sandworm et Pawn Storm .
Le groupe de piratage est opérationnel depuis au moins 2007 et a été crédité d’une longue liste d’attaques au cours des dernières années, y compris le piratage en 2016 du Comité national démocrate (DNC) et la campagne Clinton pour influencer l’élection présidentielle américaine.

« Cette opération est la première étape de la perturbation d’un botnet qui fournit aux acteurs de Sofacy un éventail de capacités pouvant être utilisées à diverses fins malveillantes, notamment la collecte de renseignements, le vol d’informations précieuses, les attaques destructrices ou perturbatrices, et John Demers, le procureur général adjoint pour la sécurité nationale, a déclaré dans un communiqué .

Les chercheurs de Talos ont également trouvé des preuves que le code source de VPNFilter partage du code avec des versions de BlackEnergy - le malware responsable de multiples attaques à grande échelle ciblant des appareils en Ukraine que le gouvernement américain a attribués à la Russie.

VPNFilter a été conçu de manière à pouvoir surveiller secrètement ses cibles et recueillir des renseignements, interférer avec les communications Internet, surveiller les systèmes de contrôle industriel ou SCADA, tels que ceux utilisés dans les réseaux électriques, d’autres infrastructures et usines, ainsi que comme conduite des opérations de cyberattaques destructrices.

La saisie du domaine qui fait partie de l’infrastructure de commande et de contrôle de VPNFilter permet au FBI de rediriger les tentatives de la première étape du malware (dans le but de réinfecter l’appareil) vers un serveur contrôlé par le FBI, qui capturera l’adresse IP des périphériques infectés et transmettre aux autorités du monde entier qui peuvent supprimer le malware.

Il est conseillé aux utilisateurs de périphériques SOHO et NAS infectés par VPNFilter de redémarrer leurs périphériques dès que possible, ce qui élimine les malwares de second niveau non persistants, provoquant l’apparition d’instructions pour les malwares persistants sur leur périphérique infecté.

"Bien que les dispositifs restent vulnérables à la réinfection avec le malware de deuxième stade lorsqu’ils sont connectés à Internet, ces efforts maximisent les opportunités d’identifier et de corriger l’infection dans le temps disponible avant que les acteurs Sofacy apprennent la vulnérabilité dans leur infrastructure de commande et de contrôle, "a déclaré le DoJ.

Étant donné que VPNFilter n’exploite aucune vulnérabilité zero-day pour infecter ses victimes et recherche plutôt des périphériques encore exposés à des vulnérabilités connues ou disposant d’informations d’identification par défaut, il est fortement recommandé aux utilisateurs de modifier leurs informations d’identification par défaut.

De plus, placez toujours vos routeurs derrière un pare-feu et désactivez

l’administration à distance jusqu’à ce que vous en ayez vraiment besoin.
Si votre routeur est vulnérable par défaut et ne peut pas être mis à jour, il est temps d’en acheter un nouveau. Vous devez être plus vigilant sur la sécurité de vos appareils intelligents IoT.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image