Sécurité

VPNFilter : Il est urgent d’inclure l’IoT dans les politiques de sécurité

Share this post:

Le 23 mai 2018, les chercheurs de Talos ont découvert un virus particulièrement sophistiqué, qu’ils ont nommé VPNFilter. En quelques jours, ce virus a compromis près de cinq cent mille routeurs et NAS (serveur de stockage en réseau). La plupart étaient situés en Ukraine mais plus de cinquante-quatre pays, dont les États-Unis et la France, seraient concernés par l’incident. Même s’il ne présente pas d’originalité majeure, le fonctionnement de VPNFilter témoigne du grand professionnalisme de ses auteurs présumés, déjà connu pour Petya/NotPetya et BlackEnergy. VPNFilter donne également une preuve supplémentaire de la vulnérabilité des objets connectés.

C’est un malware qui cible les appareils qui utilisent le framework BusyBox. Ce dernier est très fréquemment utilisé par les fabricants d’objets connectés, ce qui lui vaut d’être considéré comme le « couteau suisse de l’IoT ».

Une fois que VPNFilter est parvenu à infecter un appareil, il cherche à se connecter à différents serveurs de commande et contrôle (C&C). C’est en effet un virus modulaire : le module à l’origine de l’infection ne contient aucune charge utile (payload) mais sert à établir un contact avec un serveur C&C pour récupérer d’autres modules. L’incident du 23 mai a été rapidement contenu car le FBI a fait saisir les différents noms de domaine utilisés par VPNFilter. Privé de ses modules supplémentaires, le malware s’est souvent retrouvé privé de ses capacités offensives.

Lorsqu’il parvient à contacter l’un des serveurs C&C, VPNFilter charge un deuxième module qui contient sa véritable payload. A ce stade, le virus devient notamment capable d’exécuter des commandes shell, de manipuler des fichiers ou encore de redémarrer son hôte. Surtout, il est capable de détruire définitivement l’appareil infecté en altérant sa partition de démarrage. Cette capacité n’est pas sans rappeler le malware BrickerBot (avril 2017) qui ciblait déjà une vulnérabilité de BusyBox pour détruire les objets connectés dont les propriétaires n’avaient pas changé les mots de passe par défaut.

Néanmoins, il semblerait que la destruction pure des victimes de VPNFilter n’ait pas été la principale motivation des attaquants. Les analystes de Talos ont en effet mis en évidence l’existence de modules supplémentaires qui étendent les capacités du deuxième module. L’un d’entre eux rend ainsi ce virus capable de se connecter à Tor et un autre semble rechercher des systèmes SCADA. Même si l’incident du 23 mai 2018 s’est avéré finalement bénin, la modularité de ce virus a conduit les services secrets ukrainiens à estimer que VPNFilter devait servir à mener une attaque de grande ampleur lors de la finale de la Ligue des Champions qui a eu lieu trois jours plus tard. Cette hypothèse reste à prendre avec prudence mais n’est pas à exclure : les auteurs présumés de VPNFilter sont déjà connus pour BlackEnergy, un APT (Advanced Persistent Threat) qui a compromis plusieurs des sites industriels, dont des centrales électriques ukrainiennes en 2016.

Comme souvent avec les attaques qui concernent l’IoT, il peut être assez difficile de déterminer avec certitude si un appareil a été compromis par VPNFilter et de retirer le malware. Le FBI a suggéré de redémarrer tous les routeurs pour contenir l’infection. Cette mesure permet de supprimer tous les modules du malware, à l’exception du premier. Seule une réinitialisation complète de l’appareil permet de le retirer intégralement.

Malgré sa sophistication, l’incident VPNFilter aurait été évité si les propriétaires des appareils avaient pris en compte dans leur politique de sécurité les risques posés par l’IoT. VPNFilter ciblait essentiellement des appareils qui n’avaient pas été mis à jour depuis un certain temps ou dont la maintenance n’était plus assurée par le fabriquant. Le malware exploite en outre des vulnérabilités connues, qui étaient souvent détectables par un firewall. Le comportement du virus (ouverture de ports, chargement de fichiers…) aurait enfin pu déclencher des alertes de sécurité. Malheureusement, la plupart des victimes sont souvent des PMEs ou des particuliers qui n’ont que très rarement initié une réflexion sur la sécurité informatique.

 

Consultant en Sécurité IBM

More Sécurité stories
4 mai 2021

Les femmes leaders en Intelligence Artificielle

Le pourcentage de femmes dans les postes de direction a reculé par rapport à 2019. En Intelligence Artificielle, elles représentent seulement 26% des effectifs. Et pourtant, il est reconnu que l’inclusion et l’égalité des sexes génèrent de meilleurs résultats pour les entreprises. « L’efficacité de la mixité est prouvée et nos entreprises en sont convaincues » rappelle Patricia […]

Continue reading

16 avril 2021

Construire, moderniser, sécuriser et opérer votre IT avec IBM IS

  Le « Move to Cloud » et l’intégration d’environnements hybrides De nouveaux rôles clés émergent pour accélérer l’innovation en entreprise tout en maîtrisant les coûts. L’usage du Cloud en entreprise représente, en effet, une opportunité extraordinaire d’innovation. Mais aussi une menace sur l’intégrité, le contrôle des données et la gestion des assets informatiques. « Le « Move to […]

Continue reading

17 mars 2021

Les managers de demain devront maîtriser le Cloud

La crise de la Covid-19 aura au moins eu le mérite de révéler nos capacités de résilience et d’agilité. Avec l’aide déterminante des technologies dans le cloud, symbolisée par la visio-conférence, nos entreprises et nos institutions ont pu s’adapter et faire ce constat rude, mais tout Darwinien : seuls les plus agiles arrivent à faire face. […]

Continue reading