Les États-Unis visent les pirates informatiques russes qui ont infecté plus de 500 000 routeurs
Linksys, routers, failles, Hackers
Les logiciels malveillants VPNFilter ciblaient les appareils dans le monde entier à partir de Linksys, MikroTik, Netgear et TP-Link.Plus d'un demi-million de routeurs et de périphériques réseau dans 54 pays ont été infectés par des logiciels malveillants sophistiqués, ont averti des chercheurs du groupe Cisco Talos Intelligence.
Les logiciels malveillants, que les chercheurs en sécurité appellent VPNFilter, contiennent un commutateur Kills pour les routeurs, peuvent voler des identifiants et des mots de passe, et peuvent surveiller les systèmes de contrôle industriels.
Une attaque pourrait couper l’accès à Internet pour tous les appareils, a déclaré mercredi un chercheur de Talos, William Largent, dans un billet de blog.
Tard mercredi, le FBI a reçu l’autorisation du tribunal de saisir un domaine Internet que le ministère de la Justice affirme qu’un groupe de piratage russe, connu sous le nom de Sofacy Group, utilisait pour contrôler les appareils infectés. Le groupe, qui s'appelle également Apt28 et Fancy Bear, a ciblé les organisations gouvernementales, militaires et de sécurité depuis au moins 2007.
«Cette opération est la première étape dans la perturbation d’un réseau de robots qui fournit aux acteurs de Sofacy un éventail de fonctionnalités pouvant être utilisées à des fins malveillantes, notamment la collecte de renseignements, le vol d’informations précieuses, les attaques destructrices et une mauvaise répartition de ces activités », a déclaré le procureur général adjoint à la sécurité nationale, John Demers, dans un communiqué.
Les attaques sur les routeurs constituent un atout non seulement parce qu’elles peuvent bloquer l’accès à Internet, mais aussi parce que les pirates peuvent utiliser le logiciel malveillant pour surveiller l’activité sur le Web, y compris l’utilisation de mots de passe. En avril, des responsables américains et britanniques ont mis en garde contre des pirates informatiques russes ciblant des millions de routeurs à travers le monde et prévoyant de mener des attaques massives en exploitant ces appareils. Dans cette annonce, le FBI a appelé les routeurs "une arme formidable entre les mains d’un adversaire".
"Tout est possible, cette attaque met en place un réseau caché pour permettre à un acteur d’attaquer le monde à partir d’une position qui rend l’attribution assez difficile", a déclaré Craig Williams, directeur de Talos, dans un courriel.
VPNFilter a notamment infecté des routeurs en Ukraine à un «rythme alarmant», avec un pic d’infections dans les pays d’Europe de l’Est les 8 et 17 mai. Les chercheurs ont déclaré que le nouveau programme malveillant partage plusieurs des mêmes codes utilisés dans les cyberattaques russes connues et a qualifié l'attaque de "probablement parrainée par l'Etat".
Les chercheurs de Talos étudient toujours la manière dont les logiciels malveillants infectent les routeurs, mais affirment que les routeurs de Linksys, MikroTik, Netgear et TP-Link sont concernés.
Netgear a déclaré connaître VPNFilter et conseillait à ses utilisateurs de mettre à jour leurs routeurs.
"Netgear enquête et mettra à jour cet avis au fur et à mesure que de nouvelles informations seront disponibles", a déclaré un porte-parole dans une déclaration envoyée par courrier électronique.
MicroTik a reconnu que Cisco l’avait informé d’un outil malveillant trouvé sur trois appareils qu’il avait fabriqués et qu’il avait déjà appliqué un correctif pour mettre fin à la vulnérabilité par laquelle le logiciel malveillant était installé. "La simple mise à niveau du logiciel RouterOS supprime les logiciels malveillants et tous les fichiers tiers et ferme la vulnérabilité", a déclaré un porte-parole.
TP-Link a déclaré qu'il enquêtait et a ajouté qu'il n'était au courant d'aucun produit affecté par VPNFilter.
Linksys n'a pas répondu à une demande de commentaire.
Les chercheurs ont publié leurs conclusions maintenant préoccupées par une éventuelle attaque à venir contre l'Ukraine. Le pays a été à plusieurs reprises victime de cyberattaques russes, dont le rançongiciel NotPetya, que les responsables américains et britanniques ont qualifié de "cyberattaque la plus destructrice de tous les temps".
Les chercheurs ont également attribué à une panne d'électricité en Ukraine en 2016 les pirates informatiques russes qui utilisaient des logiciels malveillants pour cibler les systèmes de contrôle industriels.
La Cyber Threat Alliance, dont Cisco est membre, a informé les entreprises du programme malveillant destructeur, qualifiant VPNFilter de "menace sérieuse".
"Il a une capacité destructive. La structure de commande flexible du logiciel malveillant permet à l'adversaire de l'utiliser pour" bricoler "ces périphériques.
Talos recommande aux utilisateurs de réinitialiser leurs routeurs aux paramètres d'usine afin de supprimer les logiciels malveillants potentiellement destructeurs et de mettre à jour leurs périphériques dès que possible.
REF.: