Sécurité

VPNFilter : Il est urgent d’inclure l’IoT dans les politiques de sécurité

Share this post:

Le 23 mai 2018, les chercheurs de Talos ont découvert un virus particulièrement sophistiqué, qu’ils ont nommé VPNFilter. En quelques jours, ce virus a compromis près de cinq cent mille routeurs et NAS (serveur de stockage en réseau). La plupart étaient situés en Ukraine mais plus de cinquante-quatre pays, dont les États-Unis et la France, seraient concernés par l’incident. Même s’il ne présente pas d’originalité majeure, le fonctionnement de VPNFilter témoigne du grand professionnalisme de ses auteurs présumés, déjà connu pour Petya/NotPetya et BlackEnergy. VPNFilter donne également une preuve supplémentaire de la vulnérabilité des objets connectés.

C’est un malware qui cible les appareils qui utilisent le framework BusyBox. Ce dernier est très fréquemment utilisé par les fabricants d’objets connectés, ce qui lui vaut d’être considéré comme le « couteau suisse de l’IoT ».

Une fois que VPNFilter est parvenu à infecter un appareil, il cherche à se connecter à différents serveurs de commande et contrôle (C&C). C’est en effet un virus modulaire : le module à l’origine de l’infection ne contient aucune charge utile (payload) mais sert à établir un contact avec un serveur C&C pour récupérer d’autres modules. L’incident du 23 mai a été rapidement contenu car le FBI a fait saisir les différents noms de domaine utilisés par VPNFilter. Privé de ses modules supplémentaires, le malware s’est souvent retrouvé privé de ses capacités offensives.

Lorsqu’il parvient à contacter l’un des serveurs C&C, VPNFilter charge un deuxième module qui contient sa véritable payload. A ce stade, le virus devient notamment capable d’exécuter des commandes shell, de manipuler des fichiers ou encore de redémarrer son hôte. Surtout, il est capable de détruire définitivement l’appareil infecté en altérant sa partition de démarrage. Cette capacité n’est pas sans rappeler le malware BrickerBot (avril 2017) qui ciblait déjà une vulnérabilité de BusyBox pour détruire les objets connectés dont les propriétaires n’avaient pas changé les mots de passe par défaut.

Néanmoins, il semblerait que la destruction pure des victimes de VPNFilter n’ait pas été la principale motivation des attaquants. Les analystes de Talos ont en effet mis en évidence l’existence de modules supplémentaires qui étendent les capacités du deuxième module. L’un d’entre eux rend ainsi ce virus capable de se connecter à Tor et un autre semble rechercher des systèmes SCADA. Même si l’incident du 23 mai 2018 s’est avéré finalement bénin, la modularité de ce virus a conduit les services secrets ukrainiens à estimer que VPNFilter devait servir à mener une attaque de grande ampleur lors de la finale de la Ligue des Champions qui a eu lieu trois jours plus tard. Cette hypothèse reste à prendre avec prudence mais n’est pas à exclure : les auteurs présumés de VPNFilter sont déjà connus pour BlackEnergy, un APT (Advanced Persistent Threat) qui a compromis plusieurs des sites industriels, dont des centrales électriques ukrainiennes en 2016.

Comme souvent avec les attaques qui concernent l’IoT, il peut être assez difficile de déterminer avec certitude si un appareil a été compromis par VPNFilter et de retirer le malware. Le FBI a suggéré de redémarrer tous les routeurs pour contenir l’infection. Cette mesure permet de supprimer tous les modules du malware, à l’exception du premier. Seule une réinitialisation complète de l’appareil permet de le retirer intégralement.

Malgré sa sophistication, l’incident VPNFilter aurait été évité si les propriétaires des appareils avaient pris en compte dans leur politique de sécurité les risques posés par l’IoT. VPNFilter ciblait essentiellement des appareils qui n’avaient pas été mis à jour depuis un certain temps ou dont la maintenance n’était plus assurée par le fabriquant. Le malware exploite en outre des vulnérabilités connues, qui étaient souvent détectables par un firewall. Le comportement du virus (ouverture de ports, chargement de fichiers…) aurait enfin pu déclencher des alertes de sécurité. Malheureusement, la plupart des victimes sont souvent des PMEs ou des particuliers qui n’ont que très rarement initié une réflexion sur la sécurité informatique.

 

Consultant en Sécurité IBM

More Sécurité stories
19 novembre 2019

DevSecOps : place à la sécurité en livraison continue

Le DevOps est apparu en 2011, avec le développement agile, quand il s’agissait de développer le plus vite possible, en rapprochant développeurs et opérationnels. Le Secure by Design existe depuis plus longtemps, depuis la fin du siècle dernier en fait, dans l’avionique et les systèmes embarqués : impossible de programmer une carte électronique qui commande […]

Continue reading

19 novembre 2019

Les Assises de la Sécurité 2019 : « Replacer l’humain au coeur de la cyber »

Dans quelques mois, le FIC célèbrera le Nouvel An cyber à Lille, avec ses nouvelles tendances qu’on peut déjà toucher du doigt avec le thème de l’édition 2020 : « Replacer l’humain au coeur de la cyber ». Mais nous n’y sommes pas encore. Octobre est le mois Européen de la cybersécurité. Octobre, c’est aussi l’occasion de […]

Continue reading

30 septembre 2019

L’open source, indispensable à une entreprise résiliente

Par leur transparence, les logiciels Open Source garantissent une sécurité en toute confiance. Leur utilisation implique de s’appuyer sur la connaissance humaine et les compétences acquises assurent leur pérennité.   D’un point de vue philosophique, Open Source et Closed Source sont antagonistes. Faire appel à des logiciels propriétaires signifie acquérir un service, pour une utilisation […]

Continue reading