Les logiciels malveillants sur les routeurs, les appareils réseau et l'Internet des objets sont de plus en plus courants. La plupart d’entre eux infectent des appareils vulnérables et appartiennent à des botnets très puissants. Les routeurs et les appareils Internet des objets (IoT) sont toujours alimentés, toujours en ligne et attendent des instructions. Et les botnets en profitent pour attaquer ces appareils.
Mais tous les logiciels malveillants ( malware ) ne sont pas identiques.
VPNFilter est un malware destructeur qui attaque les routeurs, les appareils IoT et même certains appareils de stockage en réseau (NAS). Comment détecter si vos appareils sont infectés par le malware VPNFilter ? Et comment pouvez-vous le supprimer ? Examinons de plus près VPNFilter à travers l'article suivant.
Qu’est-ce que Malware VPNFilter ? Comment le supprimer ?
VPNFilter est une variante de malware modulaire sophistiquée qui cible principalement les périphériques réseau de divers fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement trouvé sur les appareils réseau Linksys , MikroTik, NETGEAR et TP-Link , ainsi que sur les appareils NAS QNAP, avec environ 500 000 infections dans 54 pays.
L'équipe de découverte de VPNFilter, Cisco Talos, a récemment mis à jour les détails liés à ce malware, montrant que les périphériques réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE montrent actuellement des signes d'infection par VPNFilter. Cependant, au moment de la rédaction de cet article, aucun périphérique réseau Cisco n'était affecté.
Ce malware est différent de la plupart des autres malwares axés sur l’IoT, car il persiste après le redémarrage du système, ce qui le rend plus difficile à supprimer. Les appareils qui utilisent leurs identifiants de connexion par défaut ou qui présentent des vulnérabilités zero-day (vulnérabilités logicielles informatiques inconnues) qui ne sont pas régulièrement mis à jour avec le micrologiciel sont particulièrement vulnérables.
VPNFilter est un « multi-module, multiplateforme » qui peut endommager et détruire des appareils. En outre, cela peut également devenir une menace inquiétante, car elle collecte des données sur les utilisateurs. VPNFilter fonctionne en plusieurs étapes.
Phase 1 : VPNFilter en phase 1 établit un site d'atterrissage sur l'appareil, contacte le serveur de commande et de contrôle (C&C) pour télécharger des modules supplémentaires et attend les instructions. La phase 1 comporte également plusieurs contingences intégrées pour positionner le C&C de la phase 2, en cas de changements d'infrastructure pendant la mise en œuvre. Le malware VPNFilter de niveau 1 peut également survivre aux redémarrages, ce qui en fait une menace très dangereuse.
Étape 2 : VPNFilter de l'étape 2 ne persiste pas après un redémarrage, mais il possède de nombreuses fonctionnalités à ce stade. La phase 2 peut collecter des données personnelles, exécuter des commandes et interférer avec la gestion des appareils. De plus, il existe différentes versions de la phase 2 dans la pratique. Certaines versions sont équipées d'un module destructeur qui écrase une partition du micrologiciel de l'appareil , puis redémarre pour rendre l'appareil inutilisable (essentiellement, en désactivant le malware (configuration du routeur, des appareils IoT ou NAS ).
Phase 3 : les modules VPNFilter de la phase 3 agissent comme des plugins pour la phase 2, étendant les fonctionnalités de VPNFilter. Un module qui agit comme un renifleur de paquets , collectant le trafic entrant sur l'appareil et volant les informations de connexion. Un autre type permet aux logiciels malveillants de niveau 2 de communiquer en toute sécurité à l'aide de Tor . Cisco Talos a également découvert un module qui injectait du contenu malveillant dans le trafic passant par l'appareil, ce qui signifie que les pirates pourraient exploiter davantage d'autres appareils connectés via des routeurs, des appareils IoT ou NAS.
De plus, les modules VPNFilter « permettent le vol d'informations d'identification de sites Web et la surveillance des protocoles Modbus SCADA ».
Une autre fonctionnalité intéressante (mais pas récemment découverte) du malware VPNFilter est son utilisation de services de partage de photos en ligne pour trouver l'adresse IP de son serveur C&C. L'analyse de Talos a découvert que le malware pointe vers une série d'URL Photobucket. Le malware télécharge la première image de la galerie de références URL et extrait l' adresse IP du serveur cachée dans les métadonnées de l'image.
L'adresse IP "est extraite des 6 valeurs entières de latitude et de longitude GPS dans les informations EXIF ". Si cela échoue, le malware de phase 1 reviendra à son domaine habituel (toknowall.com - plus d'informations ci-dessous) pour télécharger l'image et tenter le même processus.
Le rapport de mise à jour de Talos montre des détails intéressants sur le module de détection de paquets VPNFilter. Au lieu d’interférer avec tout, il impose un ensemble de règles strictes, ciblant des types de trafic spécifiques. Plus précisément, le trafic provenant d'un système de contrôle industriel (SCADA), utilisant le VPN TP-Link R600, se connecte à une liste prédéfinie d'adresses IP (indiquant une connaissance avancée des réseaux et du trafic souhaité), ainsi qu'à des paquets de données de 150 octets ou plus grand.
"VPNFilter recherche des choses très spécifiques", a déclaré à Ars Craig William, responsable technologique principal et responsable de la portée mondiale chez Talos. Ils n’essaient pas de collecter autant de trafic que possible. Ils essaient seulement d’obtenir de très petites choses comme les informations de connexion et les mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, si ce n'est que nous savons que c'est très ciblé et extrêmement sophistiqué. Nous essayons toujours de savoir à qui ils appliquent cette méthode. »
VPNFilter serait l’œuvre d’un groupe de hackers parrainé par l’État. L'infection VPNFilter a été initialement découverte en Ukraine, et de nombreuses sources pensent qu'elle est l'œuvre du groupe de piratage informatique soutenu par la Russie, Fancy Bear.
Cependant, aucun pays ni groupe de hackers n’a revendiqué la responsabilité de ce malware. Compte tenu des règles détaillées et ciblées du malware pour SCADA et d'autres protocoles de systèmes industriels, la théorie selon laquelle le logiciel est soutenu par un État-nation semble la plus probable.
Cependant, le FBI estime que VPNFilter est un produit de Fancy Bear. En mai 2018, le FBI a saisi un domaine – ToKnowAll.com – qui aurait été utilisé pour installer et commander le logiciel malveillant VPNFilter de stade 2 et de stade 3. La saisie de ce domaine était probable. Elle a certainement contribué à arrêter la propagation immédiate de VPNFilter, mais elle n'a pas complètement résolu le problème. Le Service de sécurité ukrainien (SBU) a empêché une attaque VPNFilter contre une usine de traitement chimique en juillet 2018.
VPNFilter présente également des similitudes avec le malware BlackEnergy, un cheval de Troie APT utilisé contre diverses cibles en Ukraine. Encore une fois, même s’il n’existe aucune preuve exacte, les attaques visant les systèmes ukrainiens proviennent principalement de groupes de hackers ayant des liens étroits avec la Russie.
Il y a de fortes chances que votre routeur ne soit pas infecté par le malware VPNFilter. Mais il est quand même préférable de s'assurer que votre appareil est en sécurité :
Vérifiez votre routeur avec le lien : https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Si votre appareil ne figure pas dans la liste, tout va bien.
Vous pouvez visiter la page de test VPNFilter de Symantec : http://www.symantec.com/filtercheck/. Cochez la case des termes et conditions, puis appuyez sur le bouton Exécuter VPNFilter Check au milieu. Le test se terminera dans quelques secondes.
Si Symantec VPNFilter Check confirme que votre routeur est infecté par VPNFilter, vous devez prendre les mesures suivantes.
De plus, vous devez effectuer une analyse complète du système sur chaque appareil connecté au routeur infecté par VPNFilter.
Le moyen le plus efficace de supprimer les logiciels malveillants VPNFilter consiste à utiliser un logiciel antivirus ainsi qu'une application de suppression de logiciels malveillants. Les deux outils peuvent détecter ce virus avant qu’il n’infecte réellement votre ordinateur et votre routeur.
Le logiciel antivirus peut prendre plusieurs heures pour terminer le processus, en fonction de la vitesse de votre ordinateur, mais il vous fournit également les meilleures méthodes pour supprimer les fichiers malveillants.
Cela vaut également la peine d'installer un outil de suppression de logiciels malveillants, qui détecte les logiciels malveillants comme VPNFilter et les tue avant qu'ils ne causent des problèmes.
Comme pour les logiciels antivirus, le processus d'analyse des logiciels malveillants peut prendre plusieurs heures en fonction de la taille du disque dur de votre ordinateur ainsi que de sa vitesse.
Comme les autres virus, vous devez également supprimer le malware VPNFilter de votre routeur. Pour ce faire, vous devez réinitialiser le routeur à ses paramètres d'usine par défaut.
La réinitialisation matérielle du routeur vous oblige à réinitialiser le routeur à partir de zéro, notamment en créant un nouveau mot de passe administrateur et en configurant un réseau sans fil pour tous les appareils. Il faudra un certain temps pour le faire correctement.
Vous devez toujours modifier les informations d'identification par défaut de votre routeur, ainsi que de tous les appareils IoT ou NAS (effectuer cette tâche n'est pas facile sur les appareils IoT), si possible. De plus, même s'il est prouvé que VPNFilter peut contourner certains pare-feu , l'installation et la configuration correctes d'un pare-feu aideront toujours à empêcher de nombreux autres éléments malveillants d'accéder à votre réseau.
Le moyen le plus efficace de supprimer les logiciels malveillants VPNFilter est d'utiliser un logiciel antivirus.
Il existe quelques moyens clés pour réduire votre risque d'être réinfecté par VPNFilter (ou tout autre virus), y compris des conseils spécifiques directement liés à VPNFilter.
Le routeur mis à jour est protégé contre les logiciels malveillants VPNFilter ainsi que contre d'autres menaces de sécurité. N'oubliez jamais de le mettre à jour dès que possible.
N'utilisez pas le mot de passe par défaut défini par le fabricant du routeur. Créez vos propres mots de passe qui sont plus forts et moins susceptibles d'être attaqués par des acteurs malveillants.
Gardez vos programmes antivirus et anti-malware à jour. De nouvelles définitions de virus sont publiées régulièrement et permettent à votre ordinateur d'être informé des nouvelles menaces de virus et de logiciels malveillants à rechercher.
Il est important de connaître clairement la source des programmes et applications que vous avez téléchargés. Les sites moins réputés proposent de nombreux modules complémentaires dont vous n'avez pas besoin, tels que VPNFilter.
Lorsqu'une bannière apparaît pendant que vous naviguez sur un site Web, ne cliquez pas dessus. Habituellement, le moyen le plus sûr consiste à visiter un autre site Web et non un site Web rempli de publicités pop-up.
Les logiciels malveillants sur les routeurs sont de plus en plus populaires. Les vulnérabilités liées aux logiciels malveillants et à l’IoT sont omniprésentes, et avec le nombre toujours croissant d’appareils en ligne, la situation ne fera qu’empirer. Le routeur est le point central des données dans votre maison. Cependant, il ne reçoit pas autant d’attention en matière de sécurité que les autres appareils. En termes simples, les routeurs ne sont pas aussi sécurisés qu’on le pense.
En savoir plus :
Comme beaucoup d'autres plates-formes, Windows dispose également d'un gestionnaire de presse-papiers spécialisé appelé « Historique du presse-papiers ».
La version macOS Big Sur a été officiellement annoncée lors de la récente conférence WWDC. Et vous pouvez complètement amener l'interface de macOS Big Sur sur Windows 10 avec l'outil Rainmeter.
RDStealer est un malware qui tente de voler des informations d'identification et des données en infectant un serveur RDP et en surveillant ses connexions à distance.
Il est peut-être temps de dire au revoir à l'Explorateur de fichiers et d'utiliser un logiciel de gestion de fichiers tiers ? Voici les 7 meilleures alternatives à l’Explorateur de fichiers Windows.
LoRaWAN ou Long Range Wireless Area Network est utile pour la communication entre des appareils à faible consommation sur de longues distances.
En accédant aux options de démarrage avancées, vous pouvez réinitialiser Windows 10, restaurer Windows 10, restaurer Windows 10 à partir d'un fichier image que vous avez créé précédemment, corriger les erreurs de démarrage, ouvrir l'invite de commande pour exécuter des options différentes, ouvrir les paramètres UEFI, modifier les paramètres de démarrage. ..
Chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. Mais faut-il le faire ?
DNS Google 8.8.8.8 8.8.4.4 est l'un des DNS que de nombreux utilisateurs choisissent d'utiliser, notamment pour accélérer l'accès au réseau ou l'accès bloqué à Facebook.
Si vous utilisez Microsoft Edge sur un ordinateur Windows 10 partagé et que vous souhaitez garder votre historique de navigation privé, vous pouvez faire en sorte qu'Edge se lance toujours en mode InPrivate.
Il existe deux types de chiffrement couramment déployés aujourd’hui : le chiffrement symétrique et asymétrique. La différence fondamentale entre ces deux types de chiffrement réside dans le fait que le chiffrement symétrique utilise une clé unique pour les opérations de chiffrement et de déchiffrement.
