Discussion :

[Francky]

Le FBI prend le contrôle d'un serveur clé du Kremlin,
qui aurait été utilisé pour pirater plus de 500 000 routeurs

Une cyberattaque russe aurait infecté plus de 500 000 routeurs dans le monde et fait depuis quelques mois l’objet d’une enquête des forces de l’ordre américaines. Des agents du FBI ont pris le contrôle d’un serveur clé du Kremlin pour élaborer une liste complète des victimes de l’attaque.

Pour mener à bien leurs attaques, les pirates ont utilisé un logiciel malveillant sophistiqué dénommé « VPN Filter ». Selon le ministère de la Justice américaine, le maliciel utilisé serait lié au groupe de piratage russe connu sous le nom de Sofacy Group aussi appelé Apt28, Fancy Bear ou encore Sandworm, dont ont été victimes le Comité national démocrate lors des élections présidentielles de 2016.

VPN Filter utilise des failles des routeurs Linksys, MikroTik, NETGEAR et TP-Link et installe des plugins qui jouent chacun un rôle spécifique. Ainsi, les pirates se servent de l’un des plugins pour espionner le trafic internet de leurs victimes et voler leurs informations d’identification. Un autre leur permettrait de prendre le contrôle des réseaux de contrôle industriel et un troisième plugin leur permettrait de paralyser une partie ou l’ensemble des périphériques infectés.

Par ailleurs, des recherches de Cisco et de Symantec ont révélé que les malwares ont été détectés dans 54 pays y compris les États-Unis. Lors de leurs enquêtes, des agents du FBI ont interrogé une victime du malware à Pittsburgh qui, selon l'agent du FBI Michael McKeown, a volontairement abandonné son routeur aux agents et a laissé le FBI utiliser sa connexion réseau local afin d'écouter et analyser le trafic sortant.

Dans son intervention, le FBI a découvert une faille essentielle du malware. En effet, lorsqu’on redémarre un routeur infecté, tous les plugins malveillants disparaissent et il ne restera que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via internet.

Le média The Daily Beast rapporte que ledit code vérifie d’abord des images particulières hébergées sur Photobucket.com puis lorsqu’il ne les trouve pas, « il se transforme en un point de contrôle de sauvegarde d'urgence à l'adresse web ToKnowAll.com ».

Afin de pousser plus loin l'enquête, des agents du FBI à Pittsburg ont demandé à la juge magistrate Lisa Pupo Lenihan une ordonnance qui somme Verisign de mettre l’adresse ToKnowAll.com au service du FBI. « Le FBI n'autorisera pas les cybercriminels, qu'ils soient ou non parrainés par l'État, à opérer librement  », a déclaré l'agent spécial du FBI Bob Johnson.

Vikram Thakur, directeur technique chez Symantec a confirmé que le domaine a bien été repris par les forces de l’ordre ce mercredi et a déclaré en outre que le redémarrage du routeur tue la capacité du malware à se réactiver. De ce fait, les victimes pourraient elles-mêmes mettre fin à cette cyberattaque en redémarrant leurs routeurs et en les confiant aux agents du FBI qui, à leur tour collectent les adresses IP de chaque routeur et s’en servent pour nettoyer l’infection.

Selon Thakur, « une des choses qu'ils peuvent faire est de détecter qui est actuellement infecté et qui est cette victime afin de transmettre ces informations aux FAI locaux ». « Certains FAI ont la possibilité de redémarrer le routeur à distance. D'autres pourraient envoyer des lettres aux utilisateurs à leur domicile les invitant à redémarrer leurs appareils », a-t-il ajouté.

Thakur rassure les victimes en affirmant qu’ « il n'y a actuellement aucune fuite de données de ces routeurs vers le domaine qui est maintenant contrôlé par une agence ».


Sources : Le ministère de la Justice - The Daily Beast

Et vous ?

Qu'en pensez-vous ?

Que pensez-vous de cette intervention du FBI ?

Voir aussi :

Les États-Unis accusent la Russie d'avoir lancé une cyberattaque contre leurs infrastructures critiques dans un rapport relayé par l'US-CERT

Des systèmes informatiques iraniens ont été la cible d'une cyberattaque d'envergure internationale mais aucune fuite de données n'a été enregistrée

Cyberattaques : quels sont les pays les plus affectés selon le type de menace ? La Chine numéro un des DDoS et les Américains les plus espionnés

Le compte YouTube de Vevo victime d'une cyberattaque qui a conduit à la suppression de la vidéo la plus regardée sur la plateforme

[marsupial]

Nous avons déjà vu par le passé des opérations de ce genre donc rien d'exceptionnel : on en verra d'autres. Son originalité provient du fait que le serveur de commandes se trouve proche du Kremlin et sous contrôle du FBI.

« il n'y a actuellement aucune fuite de données de ces routeurs vers le domaine qui est maintenant contrôlé par une agence » J'aurai aimé avoir plus de détails sur la procédure de prise en main du domaine qui doit valoir son pesant de cacahuètes.

[Bill Fassinou]

USA : le FBI publie une méthode pour contrecarrer le maliciel « VPN Filter »,
qui aurait été utilisé pour pirater plus de 500 000 routeurs

Le département de la justice américaine avait annoncé le mercredi 23 mai 2018 qu'une cyberattaque d'un groupe de pirates russes aurait infecté plus de 500 000 routeurs dans le monde. Cette attaque, qui serait l’œuvre du groupe de pirates connu sous le nom de Sofacy Group, vise le gouvernement, les militaires, les organismes de sécurité informatique, et bien d'autres. Cette annonce a été faite par John C. Demers (procureur général adjoint pour la sécurité nationale), Scott W. Brady (avocat du district ouest de la Pennsylvanie), Scott Smith (directeur de la division Cyber ​​du FBI), les agents spéciaux du FBI Robert Johnson et David J. LeValley. C'est le même groupe qui serait à l'origine de l'attaque contre le Comité national démocrate lors des élections présidentielles de 2016.

Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPN Filter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants par exemple. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.

L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPN Filter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.

Les agents du FBI ont découvert une faille dans les plugins malicieux gérant la deuxième et la troisième phase de l'attaque. Lorsqu'on redémarre l'équipement, ces plugins sont effacés et ainsi, la deuxième et la troisième phase ne sont plus exécutées. C'est de là que le conseil du FBI de redémarrer les routeurs est fondé. Cependant, la première phase demeure. Le FBI « recommande, aux petites entreprises et aux propriétaires de routeurs, de redémarrer leurs périphériques pour perturber temporairement les logiciels malveillants et faire enregistrer les appareils infectés. Ils sont invités à désactiver les paramètres de gestion à distance sur leurs périphériques ou de les sécuriser avec des mots de passe ou des méthodes de chiffrement. Les périphériques réseau doivent être mis à niveau vers les dernières versions disponibles du firmware ».

Le département américain de la Sécurité intérieure a également publié hier une déclaration invitant « tous les propriétaires de routeurs SOHO de redémarrer leurs appareils pour perturber temporairement les logiciels malveillants ». Cette solution de redémarrage empêchera le maliciel d'exécuter les autres phases de son attaque et permettra aux agents du FBI de recenser les équipements infectés à travers le monde. Les autorités américaines soupçonnent qu'en dehors des failles exploitées dans les routeurs, les pirates auraient exploité également les paramètres par défaut de certains appareils. Voici en outre ce que le FBI recommande de faire pour contrecarrer cette attaque :

• redémarrer les routeurs et NAS ;
• changer les mots de passe ;
• mettre à niveau le firmeware des équipements ;
• désactiver le contrôle à distance sur les appareils.

Les victimes pourraient également suivre le conseil donné par CISCO le vendredi passé qui consiste à restaurer la configuration d'usine des équipements. cela permettrait de supprimer toutes configurations précédentes et ainsi restaurer les paramètres par défaut de l'appareil. Les types d'appareils concernés par cette attaque sont les suivants :

• Linksys E1200 ;
• Linksys E2500 ;
• Linksys WRVS4400N ;
• Mikrotik RouterOS Versions 1016, 1036 et 1072 ;
• Netgear DGN2200 ;
• Netgear R6400 ;
• Netgear R7000 ;
• Netgear R8000 ;
• Netgear WNR1000 ;
• Netgear WNR2000 ;
• QNAP TS251 ;
• QNAP TS439 Pro ;
• D'autres périphériques NAS QNAP exécutant le logiciel QTS ;
• TP-Link R600VPN.

Le FBI a également annoncé qu'il n'y a pas encore de moyen simple pour savoir si votre équipement est infecté ou pas. CISCO a publié le 23 mai passé des indications pour permettre aux utilisateurs avancés de détecter les traces de VPN Filter dans leurs équipements et également les règles de pare-feu qui peuvent être utilisées pour protéger les appareils.


Sources : Le Département de la justice, Public service annoncement, US CERT, Cisco Talos

Et vous ?

Êtes-vous concernés par cette attaque ?
Par quelles démarches avez-nous pu surmonter cette attaque ?
Auriez-vous des indications pour permettre de détecter le VPN Filter dans un routeur ?

Voir aussi

Le FBI a pu démanteler le botnet Kelihos grâce à une « licence de piratage de masse » délivrée par la justice US, quelles sont les implications ?
Le chercheur britannique qui a arrêté WannaCry est accusé d'avoir créé et distribué le malware Kronos, un cheval de Troie qui a touché les USA
Le FBI aurait utilisé des logiciels malveillants pour infecter les utilisateurs de Tor et tracer leurs activités en ligne
USA : le FBI prend le contrôle d'un serveur clé du Kremlin, qui aurait été utilisé pour pirater plus de 500 000 routeurs

[tarassboulba]

Si j'ai bien compris le nom de domaine qui servait pour l'envoi des étapes successives de déploiement de l'attaque ainsi que ( ?) le recueil des données transmise est maintenant sous le contrôle du FBI.

Donc pour les équipements atteints, on passe d'une surveillance par "on ne sait qui" à des transmissions vers le FBI.
Ouf! Voilà qui est bien rassurant.
Les entreprises qui pourraient être concernés en seront soulagées...

Par contre je vois aussi assez bien l'intérêt de conseiller de le redémarrer en place si on a le contrôle de l'accès à la plateforme de contrôle à distance.

N'est-il pas plus judicieux de couper l'équipement, l'isoler, le redémarrer, le réinstaller avec le dernier Firmware?

[Stéphane le calme]

Le malware VPNFilter, qui a été utilisé pour pirater plus de 500 000 routeurs dans le monde,
est plus sophistiqué que ne laissaient penser les premières analyses

Le département de la justice américaine a annoncé le mercredi 23 mai 2018 qu'une cyberattaque d'un groupe de pirates russes aurait infecté plus de 500 000 routeurs dans le monde. Cette attaque, qui serait l’œuvre du groupe de pirates connu sous le nom de Sofacy Group, vise le gouvernement, les militaires, les organismes de sécurité informatique, et bien d'autres. Cette annonce a été faite par John C. Demers (procureur général adjoint pour la sécurité nationale), Scott W. Brady (avocat du district ouest de la Pennsylvanie), Scott Smith (directeur de la division Cyber ​​du FBI), les agents spéciaux du FBI Robert Johnson et David J. LeValley. C'est le même groupe qui serait à l'origine de l'attaque contre le Comité national démocrate lors des élections présidentielles de 2016.

Lors de son enquête, le FBI a détecté et découvert une faille importante dans le logiciel malveillant dénommé « VPNFilter » utilisé par le groupe de pirates. Ce maliciel exploite une faille dans les routeurs pour y installer ses plugins conçus pour espionner le trafic de la victime afin de lui dérober certaines informations comme ses identifiants. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde dont les États-Unis d’Amérique. Au redémarrage du routeur, tous les plugins du logiciel malveillant sont éliminés et il ne reste que le code malveillant principal. Les hackers auraient programmé le code pour se connecter à une plateforme de commande et de contrôle distante via l'internet. Le média The Daily Beast a annoncé que le FBI a pris le contrôle d'un nom de domaine que le logiciel malveillant VPN Filter utilise en arrière-plan pour sauvegarder les données dérobées des appareils infectés.

L'attaque était censée se dérouler en trois phases. La première phase consiste à infecter les appareils avec le logiciel malveillant afin d'en prendre le contrôle total. Après cela vient la deuxième phase qui consiste à dérober les données importantes comme les identifiants de connexion et de les sauvegarder sur une plateforme en ligne conçue à cet effet. Quant à la dernière phase, elle permettra aux pirates d'envoyer des paquets malicieux vers l'appareil détourné pour l'achever. « VPNFilter est capable de rendre les petites entreprises et les routeurs de bureau à domicile inutilisables. Le logiciel malveillant peut recueillir également des informations qui transitent par le routeur. La détection et l'analyse de l'activité réseau du logiciel malveillant sont rendues difficiles par les algorithmes de chiffrement réseau utilisés », a déclaré le FBI.

De nouvelles informations découvertes sur VPNFilter

La nouvelle analyse, dont Cisco a publié les détails hier, montre que VPNFilter constitue une menace plus importante et cible plus de dispositifs qu'il y a deux semaines. Auparavant, Cisco croyait que l'objectif principal de VPNFilter était d'utiliser des routeurs, des commutateurs et des périphériques de stockage connectés au réseau domestique et aux petites entreprises comme plateforme pour lancer des attaques dissimulées sur des cibles principales. La découverte du module ssler suggère que les propriétaires de routeur eux-mêmes sont une cible clé de VPNFilter.

« Au départ, quand nous avons vu cela, nous pensions qu'il était principalement fait pour des capacités offensives comme le routage des attaques sur Internet », a déclaré Craig Williams, responsable technologique chez Talos, une unité de Cisco. « Mais il semble que [les attaquants] aient complètement évolué au-delà de cela, et maintenant non seulement cela leur permet de le faire, mais ils peuvent manipuler tout ce qui passe par le périphérique compromis. Ils peuvent modifier le solde de votre compte bancaire de sorte qu'il semble normal tout en siphonnant de l'argent et potentiellement des clés PGP et des choses comme ça. Ils peuvent manipuler tout ce qui entre dans et sors de l'appareil ».

De plus, Cisco a découvert que VPNFilter cible plus de marques / modèles d'appareils que prévu initialement et dispose de capacités supplémentaires, notamment la possibilité de livrer des exploits aux terminaux. Les fournisseurs qui s’ajoutent à cette liste sont ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. De nouveaux appareils ont également été découverts chez Linksys, MikroTik, Netgear et TP-Link.

Cisco a également découvert un nouveau module de niveau 3 qui injecte du contenu malveillant dans le trafic Web lorsqu'il passe à travers un périphérique réseau. « Au moment de notre publication initiale, nous ne disposions pas de toutes les informations concernant les modules présumés de niveau 3. Le nouveau module permet à l'acteur de fournir des exploits aux points de terminaison via une capacité man-in-the-middle (par exemple, ils peuvent intercepter le trafic réseau et y injecter du code malveillant sans que l'utilisateur le sache). Avec cette nouvelle découverte, nous pouvons confirmer que la menace va au-delà de ce que l'acteur pourrait faire sur le périphérique réseau lui-même, et étend la menace dans les réseaux pris en charge par un périphérique réseau compromis ». Les détails sur ce module, nommé “ssler” ont été fournis.

De plus, Cisco affirme avoir découvert un module supplémentaire de niveau 3 qui fournit à n'importe quel module de niveau 2 qui n'a pas la commande kill la capacité de désactiver le périphérique. Lorsqu'il est exécuté, ce module supprime spécifiquement les traces du logiciel malveillant VPNFilter de l'appareil, puis rend l'appareil inutilisable. L'analyse de ce module, appelé "dstr”, a été fournie.

Liste des appareils concernés

Williams estime que les modèles supplémentaires mettent 200 000 routeurs supplémentaires dans le monde à risque d'être infectés. La liste complète des appareils ciblés est:

Appareils Asus:

• RT-AC66U (nouveau)
• RT-N10 (nouveau)
• RT-N10E (nouveau)
• RT-N10U (nouveau)
• RT-N56U (nouveau)
• RT-N66U (nouveau)

Périphériques D-Link:

• DES-1210-08P (nouveau)
• DIR-300 (nouveau)
• DIR-300A (nouveau)
• DSR-250N (nouveau)
• DSR-500N (nouveau)
• DSR-1000 (nouveau)
• DSR-1000N (nouveau)

Appareils Huawei :
HG8245 (nouveau)

Dispositifs Linksys:

• E1200
• E2500
• E3000 (nouveau)
• E3200 (nouveau)
• E4200 (nouveau)
• RV082 (nouveau)
• WRVS4400N

Appareils Mikrotik:

• CCR1009 (nouveau)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nouveau)
• CRS112 (nouveau)
• CRS125 (nouveau)
• RB411 (nouveau)
• RB450 (nouveau)
• RB750 (nouveau)
• RB911 (nouveau)
• RB921 (nouveau)
• RB941 (nouveau)
• RB951 (nouveau)
• RB952 (nouveau)
• RB960 (nouveau)
• RB962 (nouveau)
• RB1100 (nouveau)
• RB1200 (nouveau)
• RB2011 (nouveau)
• RB3011 (nouveau)
• RB Groove (nouveau)
• RB Omnitik (nouveau)
• STX5 (nouveau)

Appareils Netgear:

• DG834 (nouveau)
• DGN1000 (nouveau)
• DGN2200
• DGN3500 (nouveau)
• FVS318N (nouveau)
• MBRN3000 (nouveau)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nouveau)
• WNR4000 (nouveau)
• WNDR3700 (nouveau)
• WNDR4000 (nouveau)
• WNDR4300 (nouveau)
• WNDR4300-TN (nouveau)
• UTM50 (nouveau)

Périphériques QNAP:
TS251
TS439 Pro
Autres périphériques NAS QNAP exécutant le logiciel QTS

Dispositifs TP-Link:

• R600VPN
• TL-WR741ND (nouveau)
• TL-WR841N (nouveau)

Périphériques Ubiquiti:

• NSM2 (nouveau)
• PBE M5 (nouveau)

Périphériques Upvel:
Modèles inconnus * (nouveau)

Appareils ZTE:
ZXHN H108N (nouveau)

Source : Talos

Et vous ?

Utilisez-vous l'un des appareils vulnérables qui figurent sur la liste ? Lequel ?
Avez-vous subi cette attaque ? Si oui, comment l'avez vous détectée ?
Avez-vous des conseils à prodiguer pour mieux se protéger, ou au moins en atténuer l'impact ?

Voir aussi :

Telegram Desktop serait victime d'un malware baptisé TeleGrab, qui vole les fichiers de cache et fichiers clés de l'application de messagerie
Check Point publie le Top 10 des malwares qui ont été le plus actifs en avril 2018, les malwares de cryptominage ont dominé le classement
Le malware Nigelthorn infecte plus de 100 000 utilisateurs à travers des copies d'extensions depuis le Chrome Web Store
Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
FacexWorm : un malware qui cible les plateformes d'échanges de cryptomonnaie, et qui se sert de Facebook Messenger pour se propager

[pcdwarf]

J'ai un bon paquets des routeurs concernés et je m'en suis fait péter 4.

Je ne sais pas si il s'agit de la faille indiquée ici mais ça y ressemble
Création de backdoor VPN
activation du proxy, pour passer par un relai externe, ce genre de choses.

très dérangeant, le truc utilise le système de dump pour les rapport de bug et l'upload quelque part.
Il y a fort à parier que les hash des mots de passe utilisateur soient dedans.