Les logiciels malveillants sur les routeurs, les appareils réseau et l'Internet des objets sont de plus en plus courants. La plupart d’entre eux infectent des appareils vulnérables et appartiennent à des botnets très puissants. Les routeurs et les appareils Internet des objets (IoT) sont toujours alimentés, toujours en ligne et attendent des instructions. Et les botnets en profitent pour attaquer ces appareils.
Mais tous les logiciels malveillants ( malware ) ne sont pas identiques.
VPNFilter est un malware destructeur qui attaque les routeurs, les appareils IoT et même certains appareils de stockage en réseau (NAS). Comment détecter si vos appareils sont infectés par le malware VPNFilter ? Et comment pouvez-vous le supprimer ? Examinons de plus près VPNFilter à travers l'article suivant.
Qu’est-ce que Malware VPNFilter ? Comment le supprimer ?
VPNFilter est une variante de malware modulaire sophistiquée qui cible principalement les périphériques réseau de divers fabricants, ainsi que les périphériques NAS. VPNFilter a été initialement trouvé sur les appareils réseau Linksys , MikroTik, NETGEAR et TP-Link , ainsi que sur les appareils NAS QNAP, avec environ 500 000 infections dans 54 pays.
L'équipe de découverte de VPNFilter, Cisco Talos, a récemment mis à jour les détails liés à ce malware, montrant que les périphériques réseau de fabricants tels que ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE montrent actuellement des signes d'infection par VPNFilter. Cependant, au moment de la rédaction de cet article, aucun périphérique réseau Cisco n'était affecté.
Ce malware est différent de la plupart des autres malwares axés sur l’IoT, car il persiste après le redémarrage du système, ce qui le rend plus difficile à supprimer. Les appareils qui utilisent leurs identifiants de connexion par défaut ou qui présentent des vulnérabilités zero-day (vulnérabilités logicielles informatiques inconnues) qui ne sont pas régulièrement mis à jour avec le micrologiciel sont particulièrement vulnérables.
VPNFilter est un « multi-module, multiplateforme » qui peut endommager et détruire des appareils. En outre, cela peut également devenir une menace inquiétante, car elle collecte des données sur les utilisateurs. VPNFilter fonctionne en plusieurs étapes.
Phase 1 : VPNFilter en phase 1 établit un site d'atterrissage sur l'appareil, contacte le serveur de commande et de contrôle (C&C) pour télécharger des modules supplémentaires et attend les instructions. La phase 1 comporte également plusieurs contingences intégrées pour positionner le C&C de la phase 2, en cas de changements d'infrastructure pendant la mise en œuvre. Le malware VPNFilter de niveau 1 peut également survivre aux redémarrages, ce qui en fait une menace très dangereuse.
Étape 2 : VPNFilter de l'étape 2 ne persiste pas après un redémarrage, mais il possède de nombreuses fonctionnalités à ce stade. La phase 2 peut collecter des données personnelles, exécuter des commandes et interférer avec la gestion des appareils. De plus, il existe différentes versions de la phase 2 dans la pratique. Certaines versions sont équipées d'un module destructeur qui écrase une partition du micrologiciel de l'appareil , puis redémarre pour rendre l'appareil inutilisable (essentiellement, en désactivant le malware (configuration du routeur, des appareils IoT ou NAS ).
Phase 3 : les modules VPNFilter de la phase 3 agissent comme des plugins pour la phase 2, étendant les fonctionnalités de VPNFilter. Un module qui agit comme un renifleur de paquets , collectant le trafic entrant sur l'appareil et volant les informations de connexion. Un autre type permet aux logiciels malveillants de niveau 2 de communiquer en toute sécurité à l'aide de Tor . Cisco Talos a également découvert un module qui injectait du contenu malveillant dans le trafic passant par l'appareil, ce qui signifie que les pirates pourraient exploiter davantage d'autres appareils connectés via des routeurs, des appareils IoT ou NAS.
De plus, les modules VPNFilter « permettent le vol d'informations d'identification de sites Web et la surveillance des protocoles Modbus SCADA ».
Une autre fonctionnalité intéressante (mais pas récemment découverte) du malware VPNFilter est son utilisation de services de partage de photos en ligne pour trouver l'adresse IP de son serveur C&C. L'analyse de Talos a découvert que le malware pointe vers une série d'URL Photobucket. Le malware télécharge la première image de la galerie de références URL et extrait l' adresse IP du serveur cachée dans les métadonnées de l'image.
L'adresse IP "est extraite des 6 valeurs entières de latitude et de longitude GPS dans les informations EXIF ". Si cela échoue, le malware de phase 1 reviendra à son domaine habituel (toknowall.com - plus d'informations ci-dessous) pour télécharger l'image et tenter le même processus.
Le rapport de mise à jour de Talos montre des détails intéressants sur le module de détection de paquets VPNFilter. Au lieu d’interférer avec tout, il impose un ensemble de règles strictes, ciblant des types de trafic spécifiques. Plus précisément, le trafic provenant d'un système de contrôle industriel (SCADA), utilisant le VPN TP-Link R600, se connecte à une liste prédéfinie d'adresses IP (indiquant une connaissance avancée des réseaux et du trafic souhaité), ainsi qu'à des paquets de données de 150 octets ou plus grand.
"VPNFilter recherche des choses très spécifiques", a déclaré à Ars Craig William, responsable technologique principal et responsable de la portée mondiale chez Talos. Ils n’essaient pas de collecter autant de trafic que possible. Ils essaient seulement d’obtenir de très petites choses comme les informations de connexion et les mots de passe. Nous n'avons pas beaucoup d'informations à ce sujet, si ce n'est que nous savons que c'est très ciblé et extrêmement sophistiqué. Nous essayons toujours de savoir à qui ils appliquent cette méthode. »
VPNFilter serait l’œuvre d’un groupe de hackers parrainé par l’État. L'infection VPNFilter a été initialement découverte en Ukraine, et de nombreuses sources pensent qu'elle est l'œuvre du groupe de piratage informatique soutenu par la Russie, Fancy Bear.
Cependant, aucun pays ni groupe de hackers n’a revendiqué la responsabilité de ce malware. Compte tenu des règles détaillées et ciblées du malware pour SCADA et d'autres protocoles de systèmes industriels, la théorie selon laquelle le logiciel est soutenu par un État-nation semble la plus probable.
Cependant, le FBI estime que VPNFilter est un produit de Fancy Bear. En mai 2018, le FBI a saisi un domaine – ToKnowAll.com – qui aurait été utilisé pour installer et commander le logiciel malveillant VPNFilter de stade 2 et de stade 3. La saisie de ce domaine était probable. Elle a certainement contribué à arrêter la propagation immédiate de VPNFilter, mais elle n'a pas complètement résolu le problème. Le Service de sécurité ukrainien (SBU) a empêché une attaque VPNFilter contre une usine de traitement chimique en juillet 2018.
VPNFilter présente également des similitudes avec le malware BlackEnergy, un cheval de Troie APT utilisé contre diverses cibles en Ukraine. Encore une fois, même s’il n’existe aucune preuve exacte, les attaques visant les systèmes ukrainiens proviennent principalement de groupes de hackers ayant des liens étroits avec la Russie.
Il y a de fortes chances que votre routeur ne soit pas infecté par le malware VPNFilter. Mais il est quand même préférable de s'assurer que votre appareil est en sécurité :
Vérifiez votre routeur avec le lien : https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Si votre appareil ne figure pas dans la liste, tout va bien.
Vous pouvez visiter la page de test VPNFilter de Symantec : http://www.symantec.com/filtercheck/. Cochez la case des termes et conditions, puis appuyez sur le bouton Exécuter VPNFilter Check au milieu. Le test se terminera dans quelques secondes.
Si Symantec VPNFilter Check confirme que votre routeur est infecté par VPNFilter, vous devez prendre les mesures suivantes.
De plus, vous devez effectuer une analyse complète du système sur chaque appareil connecté au routeur infecté par VPNFilter.
Le moyen le plus efficace de supprimer les logiciels malveillants VPNFilter consiste à utiliser un logiciel antivirus ainsi qu'une application de suppression de logiciels malveillants. Les deux outils peuvent détecter ce virus avant qu’il n’infecte réellement votre ordinateur et votre routeur.
Le logiciel antivirus peut prendre plusieurs heures pour terminer le processus, en fonction de la vitesse de votre ordinateur, mais il vous fournit également les meilleures méthodes pour supprimer les fichiers malveillants.
Cela vaut également la peine d'installer un outil de suppression de logiciels malveillants, qui détecte les logiciels malveillants comme VPNFilter et les tue avant qu'ils ne causent des problèmes.
Comme pour les logiciels antivirus, le processus d'analyse des logiciels malveillants peut prendre plusieurs heures en fonction de la taille du disque dur de votre ordinateur ainsi que de sa vitesse.
Comme les autres virus, vous devez également supprimer le malware VPNFilter de votre routeur. Pour ce faire, vous devez réinitialiser le routeur à ses paramètres d'usine par défaut.
La réinitialisation matérielle du routeur vous oblige à réinitialiser le routeur à partir de zéro, notamment en créant un nouveau mot de passe administrateur et en configurant un réseau sans fil pour tous les appareils. Il faudra un certain temps pour le faire correctement.
Vous devez toujours modifier les informations d'identification par défaut de votre routeur, ainsi que de tous les appareils IoT ou NAS (effectuer cette tâche n'est pas facile sur les appareils IoT), si possible. De plus, même s'il est prouvé que VPNFilter peut contourner certains pare-feu , l'installation et la configuration correctes d'un pare-feu aideront toujours à empêcher de nombreux autres éléments malveillants d'accéder à votre réseau.
Le moyen le plus efficace de supprimer les logiciels malveillants VPNFilter est d'utiliser un logiciel antivirus.
Il existe quelques moyens clés pour réduire votre risque d'être réinfecté par VPNFilter (ou tout autre virus), y compris des conseils spécifiques directement liés à VPNFilter.
Le routeur mis à jour est protégé contre les logiciels malveillants VPNFilter ainsi que contre d'autres menaces de sécurité. N'oubliez jamais de le mettre à jour dès que possible.
N'utilisez pas le mot de passe par défaut défini par le fabricant du routeur. Créez vos propres mots de passe qui sont plus forts et moins susceptibles d'être attaqués par des acteurs malveillants.
Gardez vos programmes antivirus et anti-malware à jour. De nouvelles définitions de virus sont publiées régulièrement et permettent à votre ordinateur d'être informé des nouvelles menaces de virus et de logiciels malveillants à rechercher.
Il est important de connaître clairement la source des programmes et applications que vous avez téléchargés. Les sites moins réputés proposent de nombreux modules complémentaires dont vous n'avez pas besoin, tels que VPNFilter.
Lorsqu'une bannière apparaît pendant que vous naviguez sur un site Web, ne cliquez pas dessus. Habituellement, le moyen le plus sûr consiste à visiter un autre site Web et non un site Web rempli de publicités pop-up.
Les logiciels malveillants sur les routeurs sont de plus en plus populaires. Les vulnérabilités liées aux logiciels malveillants et à l’IoT sont omniprésentes, et avec le nombre toujours croissant d’appareils en ligne, la situation ne fera qu’empirer. Le routeur est le point central des données dans votre maison. Cependant, il ne reçoit pas autant d’attention en matière de sécurité que les autres appareils. En termes simples, les routeurs ne sont pas aussi sécurisés qu’on le pense.
En savoir plus :
Microsoft a ajouté une fonctionnalité appelée Ultimate Performance à la mise à jour Windows 10 en avril 2018. On peut comprendre qu'il s'agit d'une fonctionnalité qui aide le système à passer en mode de travail hautes performances.
Si vous aimez la nouvelle icône de l'Explorateur de fichiers comme Windows 10 Sun Valley, suivez l'article ci-dessous pour modifier la toute nouvelle interface de l'Explorateur de fichiers.
Vérifier si la webcam fonctionne bien sur un ordinateur Windows est simple et rapide. Vous trouverez ci-dessous les étapes pour vous aider à vérifier la caméra.
Peut-être avez-vous branché des écouteurs de bonne qualité, mais pour une raison quelconque, l'ordinateur portable Windows continue d'essayer d'enregistrer à l'aide de son terrible microphone intégré. L'article suivant vous expliquera comment tester le microphone Windows 10.
Si vous n'en avez plus besoin, vous pouvez supprimer l'option Analyser avec Malwarebytes dans le menu contextuel du clic droit. Voici comment.
Border Gateway Protocol (BGP) est utilisé pour échanger des informations de routage pour Internet et est le protocole utilisé entre les FAI (qui sont des AS différents).
Lorsque vous lisez des conseils, vous voyez souvent des gens utiliser des fichiers de piratage du registre pour personnaliser et peaufiner les ordinateurs Windows et vous demandez comment les créer. Cet article vous guidera à travers les étapes de base pour créer votre propre fichier de piratage de registre.
Microsoft avait l'habitude de sauvegarder automatiquement le registre, mais cette fonctionnalité a été discrètement désactivée dans Windows 10. Dans cet article, Quantrimang.com vous guidera à travers les étapes pour sauvegarder automatiquement le registre dans un dossier. \RegBack) sous Windows 10.
Lorsque vous utilisez un ordinateur, faire des erreurs est tout à fait normal.
Votre connexion Ethernet peut parfois vous frustrer en vous déconnectant sans raison apparente sur votre PC Windows 10 ou 11.
