Le FBI exhorte les petites entreprises et les ménages à redémarrer immédiatement leurs routeurs. Un appel qui fait suite au rapport de sécurité de Cisco selon lequel 500.000 appareils infectés pourraient être détruits avec une seule commande.

Le malware, baptisé VPNFilter, a été développé par le groupe de pirates russe Sofacy, également connu sous le nom de Fancy Bear et APT28, selon le FBI. L’agence a obtenu la semaine dernière un mandat pour saisir un domaine utilisé pour contrôler les routeurs infectés.

500.000 routeurs infectés et un domaine saisi

Les chercheurs de Cisco ont révélé dans un rapport publié la semaine dernière que 500.000 routeurs fabriqués par Linksys, MikroTik, Netgear et TP-Link avaient été infectés par VPNFilter.

Le logiciel malveillant est capable de collecter les données de trafic envoyées via les routeurs infectés, tels que des informations de connexion à des services en ligne.

Cependant, la capacité la plus inquiétante du logiciel malveillant est celle lui permettant d’effacer une partie du firmware d’un appareil infecté, le rendant ainsi inutilisable. Les attaquants peuvent détruire de manière sélective un seul routeur ou tous les périphériques infectés à la fois.

Cisco a publié le rapport mercredi dernier après avoir observé un pic en mai des infections en Ukraine. Le pays avait réagi en accusant la Russie de planifier une attaque pour perturber la finale de la Coupe des Champions à Kiev.

Le pays avait également attribué à la Russie les attaques de NotPetya de juin 2017. Celles-ci avaient principalement affecté les organisations ukrainiennes, avant de se propager au sein des multinationales dont des bureaux étaient implantés en Ukraine.

Les utilisateurs dont les routeurs sont compromis peuvent supprimer les composants dangereux Stage 2 et Stage 3 de VPNFilter en redémarrant le périphérique. Cependant, Stage 1 de VPNFilter persistera après un redémarrage, permettant potentiellement aux attaquants de réinfecter les routeurs vulnérables.

Le domaine saisi par le FBI, ToKnowAll [.] Com, aurait pu être exploité pour réinstaller Stage 2 et Stage 3. Désormais, tout le trafic vers cette adresse est redirigé vers un serveur sous le contrôle du FBI.

VPNFilter ne sera pas totalement désactivé

Le FBI appelle néanmoins à tous les propriétaires de petits routeurs de bureau et de maison à les redémarrer, y compris s’ils n’ont pas été fabriqués par l’un des fournisseurs concernés. Cette opération contribuera à neutraliser la menace et aidera le FBI à identifier les terminaux infectés.

« Le FBI recommande à tout propriétaire de routeurs de bureau et domestique de redémarrer les appareils pour perturber temporairement le malware et faciliter l’identification potentielle des appareils infectés » écrit le FBI dans un communiqué.

« Il est conseillé aux propriétaires d’envisager de désactiver les paramètres de gestion à distance sur les terminaux et de les sécuriser avec des mots de passe et un chiffrement renforcés lorsqu’ils sont activés. Les périphériques réseau doivent être mis à niveau vers les dernières versions disponibles du firmware. »

Cisco et le ministère de la Justice ont également exhorté tous les utilisateurs à redémarrer leurs routeurs. Le ministère précise que le serveur contrôlé par le FBI collectera les adresses IP de chaque appareil infecté.

Les adresses sont partagées avec le groupe de cybersécurité à but non lucratif, The Shadowserver Foundation, qui diffusera les adresses aux CERT et FAI étrangers. Le FBI et l’US DHS CERT ont également notifié certains fournisseurs d’accès

Comment les attaquants ont-ils initialement infecté les routeurs ? On l’ignore, mais Symantec notait dans son rapport sur VPNFilter que beaucoup d’entre eux souffraient de vulnérabilités connues.

« La plupart des terminaux ciblés sont connus pour utiliser des informations d’identification par défaut et/ou pour des exploits connus, en particulier pour les anciennes versions. Rien n’indique pour l’instant que l’exploitation de vulnérabilités zero-day soit impliquée dans la propagation de la menace ».

Les périphériques infectés connus incluent :

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• MikroTik RouterOS for Cloud Core Routers (versions 1016, 1036 et 1072)
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• TP-Link R600VPN