500 000 routeurs ADSL et NAS infectés

Etes-vous concernés ?

Le groupe Talos (Cisco) vient de publier une première analyse sur une menace en cours au niveau mondial nommée VPNFilter.

Toujours selon Talos, pas moins de 500000 équipements grand public (routeurs ADSL ou NAS) seraient infectés. 

Alors que le FBI a réussi à mettre la main sur un des serveurs de contrôle et commande de ce nouveau Botnet, il semble qu’il soit malgré tout encore en expansion.

Quels sont les équipements infectés ?

A ce jour, on peut dire avec certitude que les modèles suivants peuvent être infectés et être enrôlés dans ce botnet:

  •           Linksys : E1200, E2500, WRVS4400N

  • ·         Mikrotik RouterOS : 1016, 1036, 1072

  • ·         Netgear : DGN2200, R6400, R7000, R8000, WNR1000, WNR2000

  • ·         QNAP : TS251, TS439 Pro

  • ·         QNAP NAS utilisant le logiciel QTS.

  • ·         TP-Link : R600VPN

D’autres modèles pourraient être ajoutés à cette liste comme le D-Link DIR-620 pour lequel une vulnérabilité critique a été découverte très récemment.


3 phases pour contrôler l’équipement :

Selon les premières analyses de Talos, l'attaque se déroule en 3 phases distinctes :

  • Phase 1 : Cette phase est persistante, elle contamine le microcode (firmware) du matériel visé. Elle résiste à un simple redémarrage de l'équipement contaminé.

  • Phase 2 : Cette phase est non persistante, elle prépare un environnement de travail puis charge les ordres d'un centre de commandement. Elle ne résiste pas à un simple redémarrage de l'équipement.

  • Phase 3 : Cette phase est non persistante, elle semble charger divers modules relatifs à l'exploitation proprement dite. Talos a notamment pu analyser plusieurs modules :

o   Un module pour communiquer via le réseau Tor 

o   Un module de capture réseau orienté vol d'information d'authentification 

o   Un module pour "tuer" le matériel en ré-écrivant les 5000 premiers octets du périphérique de démarrage (/dev/mtdblock0).


Quel est le vecteur d’infection ?

L’infection se fait via des vulnérabilités connues mais rarement patché. En effet, peu de personnes pensent à mettre à jour le firmware de leur routeur ADSL ou de leur NAS.


Quelles contre-mesures ?

Les experts du groupe Talos recommandent les actions suivantes

  • Redémarrer le matériel afin de traiter les problèmes attachés aux phases 2 et 3

  • Réinitialiser le matériel avec les paramètres d'usine afin de recharger le microcode d'origine du fabricant. Attention il est alors nécessaire de revalider les paramètres spécifiques à votre connexion ie: paramètres de compte Vini, paramètres WiFI etc.

  • Interdire l'accès à distance à votre matériel

  • Maintenir vos matériels en appliquant les mises à jour du constructeur

  • S’abonner aux listes de diffusions sécurité du constructeur

  • Bloquer les accès aux sites suivants pour éviter la réinfection et la communication avec le centre de controle,:

o   Photobucket.com, toknowall.com, api.ipify.org, 91.121.109[.]209, 217.12.202[.]40, 94.242.222[.]68, 82.118.242[.]124, 46.151.209[.]33, 217.79.179[.]14, 91.214.203[.]144, 95.211.198[.]231, 195.154.180[.]60, 5.149.250[.]54, 91.200.13[.]76, 94.185.80[.]82, 62.210.180[.]229, zuh3vcyskd4gipkm[.]onion/bin32/update.php


Qui contrôle ce botnet et à quelles fins ?

Ce malware comporte de nombreuses similitudes avec le malware Blackenergy qui avait coupé l’électricité à 1,4 million d’ukrainiens il y a quelques années. 

Il semble que le groupe russe APT28 soit donc derrière ce nouveau botnet et il y a donc des chances que l’Ukraine soit encore visé.


Pour aller plus loin, quelques liens intéressants:

New VPNFilter malware targets at least 500K networking devices worldwide

CERT-US

VPNFilter EXIF to C2 mechanism analysed

FBI Court Order

BE2 custom plugins, router abuse, and target profiles