Le FBI prend le contrôle du botnet russe – mais êtes-vous sûr?

Le FBI a pris le contrôle d'un énorme botnet qui aurait été contrôlé par des pirates informatiques travaillant pour le Kremlin. Le Malware, connu sous le nom de VPNFilter, a été découvert par des chercheurs travaillant chez CISCO Talos. VPNFilter permet aux pirates de détourner les routeurs pour les transformer en un réseau VPN malveillant utilisé par les pirates pour masquer leur véritable adresse IP pendant les attaques secondaires.


Selon un rapport publié hier, la charge utile est dans la nature depuis au moins 2016. Pendant cette période, elle aurait infecté environ 500 000 machines dans 54 pays. Selon Talos, la sophistication du système de malware modulaire signifie probablement qu'il s'agissait d'une attaque parrainée par l'État.

Les agents du FBI ont affirmé que l'acteur de la menace était probablement Sofacy - un collectif de piratage contrôlé par le Kremlin qui était connu sous une multitude de noms au cours des cinq dernières années (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM et Tsar Team). De l'affidavit:

"Le groupe Sofacy est un groupe de cyberespionnage qui serait originaire de Russie. Fonctionnant probablement depuis 2007, le groupe est connu pour cibler généralement le gouvernement, l'armée, les organisations de sécurité et d'autres cibles de valeur du renseignement."

Fancy Bears 2

Comme avec d'autres exploits basés sur des routeurs, VPNFilter utilise un vecteur d'attaque à plusieurs étapes. Une fois en place sur le routeur d'une victime, il communique avec un serveur de commande et de contrôle (CnC) afin de télécharger des charges utiles supplémentaires.

La deuxième étape de l'exploit permet aux pirates d'intercepter le trafic, de voler des données, d'effectuer la collecte de fichiers et d'exécuter des commandes. Il est également possible que des charges utiles supplémentaires aient été livrées infectant les périphériques réseau connectés au routeur. Mais selon Talos:

«Le type d'appareils ciblés par cet acteur est difficile à défendre. Ils se trouvent fréquemment sur le périmètre du réseau, sans système de protection contre les intrusions (IPS) en place, et ne disposent généralement pas d'un système de protection basé sur l'hôte comme un package antivirus (AV). »

Fbi Vpnfilter

Le FBI prend le relais

Après avoir surveillé la situation pendant des mois, les chercheurs en sécurité travaillant avec le FBI ont pu identifier le nom de domaine utilisé par les pirates informatiques sophistiqués. Selon l'affidavit déposé hier, des agents étaient sur le dossier depuis août lorsqu'ils ont été volontairement autorisés à accéder à un routeur infecté par un résident de Pittsburgh.

Après que la nouvelle de l'infection a été rendue publique, le FBI a agi rapidement pour obtenir un mandat d'un juge de Pennsylvanie pour prendre le contrôle du toKnowAll.com domaine.

Maintenant que le domaine CnC est sous le contrôle du FBI, les consommateurs du monde entier avec des routeurs à risque sont invités à redémarrer leur appareil afin de le faire téléphoner à la maison. Cela donnera aux autorités une image claire du nombre exact d'appareils touchés dans le monde..

Le FBI a déclaré qu'il avait l'intention de dresser une liste de toutes les adresses IP infectées afin de contacter les FAI, les partenaires du secteur public et privé, pour nettoyer après l'infection mondiale - avant qu'un nouveau serveur CnC malveillant puisse être configuré pour rétablir le botnet.

Question Mark Trust Fbi

Faites-vous confiance au FBI?

Alors que pour la plupart des gens, les nouvelles peuvent sembler être une réussite pour les bons, en tant que défenseur de la vie privée numérique, il est difficile de ne pas entendre la sonnette d'alarme. L'équipe de ProPrivacy.com se sent un peu mal à l'aise face à l'acquisition par le FBI de ce puissant botnet. Alors que le FBI pourrait utiliser les données recueillies pour informer les parties infectées et corriger la situation, ce qui les empêcherait d'utiliser le botnet pour déployer ses propres charges utiles?

Selon Vikram Thakur, directeur technique de Symantec,

"L'ordonnance du tribunal permet uniquement au FBI de surveiller les métadonnées comme l'adresse IP de la victime, pas le contenu". Thakur estime qu '«il n'y a aucun danger que le malware envoie au FBI l'historique de navigation d'une victime ou d'autres données sensibles".

Étant donné que l'affidavit de l'agent spécial demandait que le tout soit «gardé sous scellés» pendant 30 jours pour faciliter l'enquête, on ne peut s'empêcher de se demander si la rhétorique récente du FBI correspond vraiment à son programme.

Réinitialisation d'usine ou nouveau routeur?

Pour cette raison, si vous appréciez vraiment la confidentialité, et que vous préférez peut-être réellement l'idée d'envoyer vos données à des pirates au Kremlin plutôt qu'aux autorités fédérales - nous vous recommandons de faire un peu plus que d'allumer et d'éteindre votre routeur. Symantec a conseillé:

"Effectuer une réinitialisation matérielle de l'appareil, qui restaure les paramètres d'usine, devrait l'essuyer et retirer l'étape 1. Avec la plupart des appareils, cela peut être fait en appuyant et en maintenant un petit interrupteur de réinitialisation lors de la mise hors tension et sous tension de l'appareil. Cependant, gardez à l'esprit que tous les détails de configuration ou les informations d'identification stockés sur le routeur doivent être sauvegardés car ils seront effacés par une réinitialisation matérielle."

Cependant, la seule façon d'être absolument certain que votre routeur n'a pas été compromis par le gouvernement américain peut être de sortir et d'en acheter un nouveau..

Voici une liste de tous les routeurs affectés connus et les périphériques de stockage en réseau (NAS) QNAP:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS pour les routeurs Cloud Core: versions 1016, 1036 et 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Autres périphériques NAS QNAP exécutant le logiciel QTS
  • TP-Link R600VPN

Les opinions sont celles de l'auteur.

Crédit image titre: Image VPNFilter officielle de Talos

Crédits image: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me