Sécurité

VPNFilter : Il est urgent d’inclure l’IoT dans les politiques de sécurité

Share this post:

Le 23 mai 2018, les chercheurs de Talos ont découvert un virus particulièrement sophistiqué, qu’ils ont nommé VPNFilter. En quelques jours, ce virus a compromis près de cinq cent mille routeurs et NAS (serveur de stockage en réseau). La plupart étaient situés en Ukraine mais plus de cinquante-quatre pays, dont les États-Unis et la France, seraient concernés par l’incident. Même s’il ne présente pas d’originalité majeure, le fonctionnement de VPNFilter témoigne du grand professionnalisme de ses auteurs présumés, déjà connu pour Petya/NotPetya et BlackEnergy. VPNFilter donne également une preuve supplémentaire de la vulnérabilité des objets connectés.

C’est un malware qui cible les appareils qui utilisent le framework BusyBox. Ce dernier est très fréquemment utilisé par les fabricants d’objets connectés, ce qui lui vaut d’être considéré comme le « couteau suisse de l’IoT ».

Une fois que VPNFilter est parvenu à infecter un appareil, il cherche à se connecter à différents serveurs de commande et contrôle (C&C). C’est en effet un virus modulaire : le module à l’origine de l’infection ne contient aucune charge utile (payload) mais sert à établir un contact avec un serveur C&C pour récupérer d’autres modules. L’incident du 23 mai a été rapidement contenu car le FBI a fait saisir les différents noms de domaine utilisés par VPNFilter. Privé de ses modules supplémentaires, le malware s’est souvent retrouvé privé de ses capacités offensives.

Lorsqu’il parvient à contacter l’un des serveurs C&C, VPNFilter charge un deuxième module qui contient sa véritable payload. A ce stade, le virus devient notamment capable d’exécuter des commandes shell, de manipuler des fichiers ou encore de redémarrer son hôte. Surtout, il est capable de détruire définitivement l’appareil infecté en altérant sa partition de démarrage. Cette capacité n’est pas sans rappeler le malware BrickerBot (avril 2017) qui ciblait déjà une vulnérabilité de BusyBox pour détruire les objets connectés dont les propriétaires n’avaient pas changé les mots de passe par défaut.

Néanmoins, il semblerait que la destruction pure des victimes de VPNFilter n’ait pas été la principale motivation des attaquants. Les analystes de Talos ont en effet mis en évidence l’existence de modules supplémentaires qui étendent les capacités du deuxième module. L’un d’entre eux rend ainsi ce virus capable de se connecter à Tor et un autre semble rechercher des systèmes SCADA. Même si l’incident du 23 mai 2018 s’est avéré finalement bénin, la modularité de ce virus a conduit les services secrets ukrainiens à estimer que VPNFilter devait servir à mener une attaque de grande ampleur lors de la finale de la Ligue des Champions qui a eu lieu trois jours plus tard. Cette hypothèse reste à prendre avec prudence mais n’est pas à exclure : les auteurs présumés de VPNFilter sont déjà connus pour BlackEnergy, un APT (Advanced Persistent Threat) qui a compromis plusieurs des sites industriels, dont des centrales électriques ukrainiennes en 2016.

Comme souvent avec les attaques qui concernent l’IoT, il peut être assez difficile de déterminer avec certitude si un appareil a été compromis par VPNFilter et de retirer le malware. Le FBI a suggéré de redémarrer tous les routeurs pour contenir l’infection. Cette mesure permet de supprimer tous les modules du malware, à l’exception du premier. Seule une réinitialisation complète de l’appareil permet de le retirer intégralement.

Malgré sa sophistication, l’incident VPNFilter aurait été évité si les propriétaires des appareils avaient pris en compte dans leur politique de sécurité les risques posés par l’IoT. VPNFilter ciblait essentiellement des appareils qui n’avaient pas été mis à jour depuis un certain temps ou dont la maintenance n’était plus assurée par le fabriquant. Le malware exploite en outre des vulnérabilités connues, qui étaient souvent détectables par un firewall. Le comportement du virus (ouverture de ports, chargement de fichiers…) aurait enfin pu déclencher des alertes de sécurité. Malheureusement, la plupart des victimes sont souvent des PMEs ou des particuliers qui n’ont que très rarement initié une réflexion sur la sécurité informatique.

 

Consultant en Sécurité IBM

More Sécurité stories
30 juin 2020

Think Digital Event Experience 2020, ce qu’il ne fallait pas manquer sur IBM Security

La sécurité s’invite en force sur l’IBM Think Digital Event Experience. L’un des thèmes récurrents était le télétravail, qui a connu un bond pendant la crise du Covid-19. Le renforcement de l’identification des personnes et équipements, et la prise en compte des infrastructures multicloud hybrides ont également fait l’objet de plusieurs débats.   Crise du […]

Continue reading

22 juin 2020

Les organisations à l’affût des attaques par rebond

  En ne visant pas directement les systèmes d’information (SI) des entreprises, les attaquants contournent leurs protections et ne laissent que peu de traces dans les systèmes des sociétés visées. Cette méthode est connue sous le nom d’attaques par rebond. La France et l’Europe sont en pointe sur le sujet. Le Cybersecurity Act, en définissant […]

Continue reading

6 mai 2020

La micro-segmentation au service de la LPM

La Loi de programmation militaire impose aux Opérateurs d’importance vitale de mettre en œuvre des règles de cloisonnement et de filtrage. La micro-segmentation répond à ces enjeux, tout en restant plus agile que le cloisonnement réseau traditionnel. Dans le domaine de la cybersécurité, la Loi de programmation militaire (LPM) a des conséquences sur les Opérateurs […]

Continue reading