Sécurité

VPNFilter : Il est urgent d’inclure l’IoT dans les politiques de sécurité

Share this post:

Le 23 mai 2018, les chercheurs de Talos ont découvert un virus particulièrement sophistiqué, qu’ils ont nommé VPNFilter. En quelques jours, ce virus a compromis près de cinq cent mille routeurs et NAS (serveur de stockage en réseau). La plupart étaient situés en Ukraine mais plus de cinquante-quatre pays, dont les États-Unis et la France, seraient concernés par l’incident. Même s’il ne présente pas d’originalité majeure, le fonctionnement de VPNFilter témoigne du grand professionnalisme de ses auteurs présumés, déjà connu pour Petya/NotPetya et BlackEnergy. VPNFilter donne également une preuve supplémentaire de la vulnérabilité des objets connectés.

C’est un malware qui cible les appareils qui utilisent le framework BusyBox. Ce dernier est très fréquemment utilisé par les fabricants d’objets connectés, ce qui lui vaut d’être considéré comme le « couteau suisse de l’IoT ».

Une fois que VPNFilter est parvenu à infecter un appareil, il cherche à se connecter à différents serveurs de commande et contrôle (C&C). C’est en effet un virus modulaire : le module à l’origine de l’infection ne contient aucune charge utile (payload) mais sert à établir un contact avec un serveur C&C pour récupérer d’autres modules. L’incident du 23 mai a été rapidement contenu car le FBI a fait saisir les différents noms de domaine utilisés par VPNFilter. Privé de ses modules supplémentaires, le malware s’est souvent retrouvé privé de ses capacités offensives.

Lorsqu’il parvient à contacter l’un des serveurs C&C, VPNFilter charge un deuxième module qui contient sa véritable payload. A ce stade, le virus devient notamment capable d’exécuter des commandes shell, de manipuler des fichiers ou encore de redémarrer son hôte. Surtout, il est capable de détruire définitivement l’appareil infecté en altérant sa partition de démarrage. Cette capacité n’est pas sans rappeler le malware BrickerBot (avril 2017) qui ciblait déjà une vulnérabilité de BusyBox pour détruire les objets connectés dont les propriétaires n’avaient pas changé les mots de passe par défaut.

Néanmoins, il semblerait que la destruction pure des victimes de VPNFilter n’ait pas été la principale motivation des attaquants. Les analystes de Talos ont en effet mis en évidence l’existence de modules supplémentaires qui étendent les capacités du deuxième module. L’un d’entre eux rend ainsi ce virus capable de se connecter à Tor et un autre semble rechercher des systèmes SCADA. Même si l’incident du 23 mai 2018 s’est avéré finalement bénin, la modularité de ce virus a conduit les services secrets ukrainiens à estimer que VPNFilter devait servir à mener une attaque de grande ampleur lors de la finale de la Ligue des Champions qui a eu lieu trois jours plus tard. Cette hypothèse reste à prendre avec prudence mais n’est pas à exclure : les auteurs présumés de VPNFilter sont déjà connus pour BlackEnergy, un APT (Advanced Persistent Threat) qui a compromis plusieurs des sites industriels, dont des centrales électriques ukrainiennes en 2016.

Comme souvent avec les attaques qui concernent l’IoT, il peut être assez difficile de déterminer avec certitude si un appareil a été compromis par VPNFilter et de retirer le malware. Le FBI a suggéré de redémarrer tous les routeurs pour contenir l’infection. Cette mesure permet de supprimer tous les modules du malware, à l’exception du premier. Seule une réinitialisation complète de l’appareil permet de le retirer intégralement.

Malgré sa sophistication, l’incident VPNFilter aurait été évité si les propriétaires des appareils avaient pris en compte dans leur politique de sécurité les risques posés par l’IoT. VPNFilter ciblait essentiellement des appareils qui n’avaient pas été mis à jour depuis un certain temps ou dont la maintenance n’était plus assurée par le fabriquant. Le malware exploite en outre des vulnérabilités connues, qui étaient souvent détectables par un firewall. Le comportement du virus (ouverture de ports, chargement de fichiers…) aurait enfin pu déclencher des alertes de sécurité. Malheureusement, la plupart des victimes sont souvent des PMEs ou des particuliers qui n’ont que très rarement initié une réflexion sur la sécurité informatique.

Photo Romain Willmann 2Romain Willmann – Consultant en Sécurité IBM

romain.willmann@fr.ibm.com

 

More Sécurité stories
18 juillet 2019

Hackathon Code pour Notre-Dame

Hackathon Code pour Notre-Dame : des solutions technologiques pour aider à préserver et restaurer des monuments historiques   Le contexte Le 15 avril 2019, un incendie a éclaté dans l’édifice le plus emblématique et historique de France, la cathédrale Notre-Dame. Bien qu’une grande partie des œuvres d’art ait été sauvée, il y a eu des […]

Continue reading

10 juillet 2019

Les défis du multi-Cloud

Le Cloud est un passage obligé, prédit IDC : pour rester compétitive, toute entreprise se doit d’avoir une stratégie Cloud mêlant des infrastructures sur site et publiques, en provenance de différents fournisseurs. Une transformation qui s’accompagne de l’adoption de nouvelles méthodes de développement agile. Le multi-Cloud devient la règle Fin 2020, 85 % des entreprises […]

Continue reading

26 juin 2019

L’éthique comme accélérateur de l’Intelligence Augmentée

L’intelligence artificielle est un vecteur incontournable de la transformation digitale des entreprises, notamment dans le secteur bancaire. Promesse d’une révolution dans la valorisation des données et du big data, l’Intelligence Artificielle – ou devrait-on dire « l’Intelligence Augmentée » – nous place aussi devant de nouveaux défis, dont celui de la transparence et de l’éthique. Explications, illustrations […]

Continue reading