Les chercheurs découvrent une énorme armée de botnets de 500 000 routeurs piratés

Plus d’un demi-million de routeurs et de périphériques de stockage dans des dizaines de pays ont été infectés par un programme malveillant de botnet IoT hautement sophistiqué, probablement conçu par un groupe sponsorisé par l’État russe.

L’unité de cyber-renseignement de Talos de Cisco a découvert un élément avancé de malware de botnet IoT, appelé VPNFilter , qui a été conçu avec des capacités polyvalentes pour recueillir des renseignements, interférer avec les communications Internet et mener des opérations de cyberattaques destructrices.

Le logiciel malveillant a déjà infecté plus de 500 000 appareils dans au moins 54 pays, dont la plupart sont de petits routeurs et des dispositifs de stockage connectés à Internet de Linksys, MikroTik, NETGEAR et TP-Link. Certains périphériques de stockage en réseau (NAS) connus pour avoir également été ciblés.

VPNFilter est un logiciel malveillant modulaire à plusieurs étapes qui peut dérober des informations d’identification de site Web et surveiller des commandes industrielles ou des systèmes SCADA, tels que ceux utilisés dans les réseaux électriques, les autres infrastructures et les usines.

Le malware communique sur le réseau d’anonymisation Tor et contient même un killswitch pour les routeurs, où le malware se tue délibérément.

Contrairement à la plupart des autres logiciels malveillants qui ciblent les appareils Internet-of-things (IoT), la première phase de VPNFilter se poursuit par un redémarrage, prenant pied sur le périphérique infecté et permettant le déploiement du malware de deuxième niveau.

VPNFilter est nommé d’après un répertoire (/ var / run / vpnfilterw) que le logiciel malveillant crée pour cacher ses fichiers sur un périphérique infecté.

Comme la recherche est toujours en cours, les chercheurs de Talos "n’ont pas de preuve définitive sur la façon dont l’acteur menace exploite les périphériques affectés," mais ils croient fermement que VPNFilter n’exploite aucune vulnérabilité zero-day pour infecter ses victimes.

Au lieu de cela, le logiciel malveillant cible les appareils encore exposés à des vulnérabilités publiques connues ou disposant d’informations d’identification par défaut, ce qui rend le compromis relativement simple.

Les chercheurs de Talos sont convaincus que le gouvernement russe est derrière VPNFilter parce que le code malveillant chevauche les versions de BlackEnergy - le malware responsable de multiples attaques à grande échelle ciblant des appareils en Ukraine que le gouvernement américain a attribués à la Russie.

Bien que des appareils infectés par VPNFilter aient été trouvés dans 54 pays, les chercheurs pensent que les pirates ciblent spécifiquement l’Ukraine, suite à une forte augmentation des infections par logiciels malveillants dans le pays le 8 mai.

"Le malware a une capacité destructrice qui peut rendre un appareil infecté inutilisable, qui peut être déclenché sur des machines individuelles ou en masse, et a le potentiel de couper l’accès à Internet pour des centaines de milliers de victimes dans le monde", a déclaré William Largent. dans un article de blog.

Les chercheurs ont dit qu’ils ont publié leurs résultats avant la fin de leurs recherches, en raison des inquiétudes concernant une éventuelle attaque contre l’Ukraine, qui a été à plusieurs reprises victime des cyberattaques russes, y compris une panne d’électricité à grande échelle et NotPetya .

Si vous êtes déjà infecté par le logiciel malveillant, réinitialisez votre routeur aux paramètres d’usine par défaut pour supprimer le logiciel malveillant potentiellement destructeur et mettre à jour le micrologiciel de votre appareil dès que possible.

Vous devez être plus vigilant sur la sécurité de vos appareils intelligents IoT. Pour vous protéger contre ces attaques de logiciels malveillants, il est recommandé de modifier les informations d’identification par défaut de votre appareil.

Si votre routeur est vulnérable par défaut et ne peut pas être mis à jour, jetez-le et achetez-en un nouveau, c’est aussi simple que cela. Votre sécurité et votre vie privée valent plus que le prix d’un routeur.

De plus, placez toujours vos routeurs derrière un pare-feu et désactivez l’administration à distance jusqu’à ce que vous en ayez vraiment besoin.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image