Plus de 500 000 routeurs grand public dans le monde seraient compromis

Talos, la filiale de cybersécurité de Cisco, estime que plus de 500 000 routeurs grand public dans plus de 54 pays sont compromis par le logiciel malveillant, nom de code VPNFilter.

L’organisation derrière cette infiltration est sans doute parrainée par un État, voire une organisation d’État, la Russie étant la première suspecte.

Il pourrait s’agir du groupe de pirates russes connu sous les noms Fancy Bear et APT28.

Les appareils affectés sont produits par Linksys, MikroTik, Netgear, TP-Link et QNAP.

Ce réseau dont la taille effraie, peut servir à lancer des attaques massives – tout laisse à penser que l’Ukraine est la cible potentielle de choix – mais aussi à cacher le trafic réseau, à voler des informations d’identification sur le web, à surveiller le protocole SCADA utilisé dans la production et la diffusion d’énergie, les approvisionnements en eau, gaz et pétrol, les industriels, etc.

Le logiciel malveillant peut même rendre les appareils affectés inutilisables et irréparables.

Une attaque samedi des infrastructures de l’Ukraine pour perturber la finale de l’UEFA Champions League, qui sera jouée à Kiev, est crainte.

L’ampleur du danger est telle que Talos a décidé de partager ses recherches au plus vite avec ses partenaires, et pour informer le public afin qu’il mette à jour les appareils.

Le Federal Bureau of Investigation (FBI) est le premier à réagir, en demandant et en obtenant un mandat pour prendre le contrôle de l’un des serveurs principaux de commande et de contrôle du logiciel malveillant.

Le FBI menait sa propre enquête depuis au moins août 2017.

L’agence fédérale américaine a découvert qu’un appareil infecté tente de se connecter à son serveur de commande et contrôle en cherchant des images particulières du service d’hébergement PhotoBucket, dans lesquelles sont cachées des informations de connexion dans les métadonnées.

Le FBI aurait identifié les images et découvert que si les images n’étaient pas présentes, un appareil connecté appelait une adresse web codée en dur du nom de domaine ToKnowAll.com.

En supposant que toutes les images aient été retirées, cette prise du contrôle par le FBI garantit que le logiciel malveillant ne peut pas se réactiver après un redémarrage. Toutefois, il est toujours présent et doit idéalement être supprimé par mise à jour.

Les propriétaires de routeurs sont donc invités à le relancer immédiatement, puis à le mettre à jour.

Il est également fortement recommandé de changer le mot de passe par défaut, et de désactiver, si la capacité est offerte, le contrôle à distance.