Protégez vous de VPNFilter

Protégez vous de VPNFilter

VPNFilter, un malware s’attaquant directement à vos équipements réseaux !

VPNFilter est un malware découvert le 8 Mai 2018 par la compagnie TALOS, et révélé au public le 23 Mai dernier sur le site de l’entreprise. Le fonctionnement du virus se fait en trois phases (Infection, Ajout de plugins, vol et modifications d’informations). Le malware s’implante sur des routeurs par des failles de sécurité connues, puis il prolifère sur le réseau privé de l’entreprise. Près de 500 000 victimes ont été dénombrées dans 54 pays à travers le monde.

 

Détection des attaques

Cette attaque a été détectée et mise en avant par le service de sécurité de Cisco, Talos. Une étude sur le sujet a été réalisée en partenariat avec des entreprises et des chercheurs spécialisés en sécurité informatique. Une première version de celle-ci a vu le jour le 23 Mai 2018, et une seconde le 6 Juin 2018, sur le blog de Talos.

La menace a dans un premier temps été étudiée en interne chez Talos, puis l’entreprise a mis en place une surveillance et un balayage sur des équipements potentiellement infectable, qui ont révélé que le malware avait une emprise mondiale et cherchait à exfiltrer des données sur des serveurs extérieurs. TALOS s’est donc aperçue qu’elle était fasse à un malware utilisant une infrastructure « command and control » visant principalement l’Ukraine. Le 8 Mai, suite à un pic d’infections, l’entreprise a choisi de révéler ses études sur le malware, au public.

 

Vecteurs d’attaque

Le malware cible essentiellement du matériel non sécurisé et rarement mis à jour. Il s’attaque donc à des PME qui ne possèdent pas d’IDS et de firewall.

VPNFilter est un malware se déployant en trois phases.

La première phase (persiste à un redémarrage) consiste à infecter le matériel et s’y implanter durablement. Pour ce faire, le malware se répand sur le router en passant par une faille non patchée et implémente son code dans la mémoire de l’appareil (ROM). Il utilise ensuite plusieurs mécanismes redondants de « commande et de contrôle » (C2) pour joindre le serveur de déploiement de la seconde phase, ou il pourra télécharger des modules.

La seconde phase (qui ne persiste pas lors d’un redémarrage),permet au virus de télécharger et d’installer des modules lui permettant de collecter des fichiers, d’exécuter des commandes, d’exfiltrer des données sur un serveur distant .

Le stage deux permet à l’attaquant d’installer différents modules tels que :

  • TOR
  • Un module chargé d’intercepter les communications réseau, plus particulièrement les éléments d’authentification http (logins et mots de passe web), ainsi que tout flux lié au protocole de communication industriel MODBUS
  • Un module permettant d’écraser ou de supprimer le microcode de l’équipement puis de le redémarrer, ce qui revient à le rendre inutilisable
  • Un module permettant de réaliser des attaques sur le protocole HTTP avec des capacités d’interception et de modification des paquets ainsi que la désactivation de TLS.

L’étape 3 permet au malware d’injecter du contenu malveillant dans le trafic Web lorsqu’il passe par un périphérique réseau et ainsi envoyer des exploits sur des terminaux. Cette phase permet également de récupérer ou modifier des informations sensibles transitant sur le réseau. Il y a donc une attaque de type « Man in the middle »

Schéma représentant le circuit d’infection du botnet vpnfilter

( source : https://blog.talosintelligence.com/2018/05/vpnfilter.html )

 

Biens sensibles

VPNfilter, cible beaucoup de biens sensibles, en effet au niveau de la communication, le malware peut modifier les informations entre un client et un serveur depuis le routeur. Ainsi donc, ce bien sensible est compromis au niveau de la confidentialité (données lues avant d’être modifiées) et de l’authenticité des données.

Le malware permet à un attaquant de prendre le contrôle des machines à travers le réseau. Les applications et données sont donc ciblées. Il est possible pour un attaquant d’accéder à la messagerie d’un poste client, ou encore de voler des données sensibles.  De plus il s’attaque également à certains NAS et peut donc directement accéder aux données. Il y a donc un problème de confidentialité et d’intégrité des données.

Le système d’exploitation et le matériel sont tous les deux également visés par l’attaquant. En effet, le malware lorsqu’il infecte un routeur, remplace par son code une partie du système d’exploitation de l’hôte.  De plus, lorsque l’attaque est terminée, le malware supprime son code et une partie de l’OS afin qu’il ne puisse être repéré en cas de recherche. Le routeur ne redémarre plus, et les petits SI sans redondances se retrouvent coupés du monde.  L’attaquant s’en prend donc directement à la disponibilité du système d’informations.

Des données sont également exfiltrées par le malware, vers un serveur extérieur, à l’aide de serveurs proxy et de TOR.

L’environnement complet du SI est touché par VPNFilter.

 

Impact

Le malware cible essentiellement des routeurs peu ou pas mis à jour. Ainsi donc les particuliers et petites entreprise ont donc principalement été touchées. D’après Talos, Symantec et l’ANSSI, le malware aurait été déployé sur plus de 500 000 équipements, situés dans 54 pays. Des routeurs de chez Asus, D-link, Huawei, Linksys, Mikrotik, Netgear, QNAP (NAS), TP-LINK, Ubiquiti, UPVEL, ZTE sont, touchées. D’après le bulletin du 26 septembre 2018 parut sur le site de TALOS, les appareils MicroTik sont les plus impactés.

L’impact économique n’a pas été annoncé, mais on peut en déduire qu’il est important. En effet, au vu du nombre de routeurs touchés, les attaquant ont pu récupérer un grand nombre d’informations confidentielles qui peuvent être utilisées ou revendues. De plus au vu de l’impact matériel causé par la suppression du malware, les sociétés touchées ont possiblement perdue du temps de travail.

L’attaque persiste toujours aujourd’hui, en effet malgré l’interruption des serveurs de la phase une, des routeurs ne sont toujours pas mis à jour et les failles utilisées par le malware restent ouvertes. De plus la phase deux du malware reste présente sur certains routeurs non redémarrés.

 

Fonctions de sécurité

Les fonctions de sécurités contournées n’ont pas toutes été mentionnées par les différentes marques touchées. Mais on peut déduire que les failles permettant d’accéder aux routeurs sont des failles connues et répertoriées CVE), non patchées par les fabriquant.

Suite au bulletin du 26 septembre 2018 parut sur le site de TALOS, il serait possible que les attaquant utilise la faille CVE-2018-14847 qui permet à un attaquant d’effectuer une traversée de répertoire pour la récupération des informations d’identification non authentifiées.

Afin de corriger ces vulnérabilités, il est dans un premier temps nécessaire que les constructeurs patchent les failles de leurs routeurs, et que les gestionnaires de SI mettent à jour leurs routeurs et utilisent la dernière version du client Winbox en cas d’utilisation de matériels MicroTik.

 

Préconisations

Afin de purger VPNFilter d’un système d’informations, il est nécessaire de revoir complètement l’architecture réseau du SI. En effet, si le Malware a réussi à s’implanter au sein du SI, celui-ci n’était donc pas assez sécurisé.

Buggup.net vous propose de changer le matériel réseau de votre entreprise et d’utiliser des routeurs possédants un système d’exploitation différent de Linux ou BusyBox, avec ses propres systèmes de sécurité intégrés tel que les routeurs Cisco. Nous proposons ensuite un accompagnement en passant sur chaque poste client, serveur et périphérique (imprimante, scan, téléphone IP …) afin de s’assurer que ceux-ci ne soient pas touchés par une porte dérobée laissée par le malware. Une vérification de l’ensemble des bases de données et de serveurs d’hébergement de fichiers est ensuite nécessaire afin de s’assurer  de l’intégrité et l’authenticité des données suite à l’attaque. Un mail doit enfin être envoyé à tous les clients et acteurs de l’entreprise ciblée afin de les prévenir d’une éventuelle fuite de données pouvant les concerner.

Afin d’éviter ce type d’attaque à l’avenir, il est obligatoire de mettre à jour (après test) tous les matériels du réseau. Buggup.net propose la mise en place d’un firewall/IDS derrière vos routeurs, afin de prévenir d’un trafic sortant de l’ordinaire ou une potentielle attaque. Buggup.net préconise également de redonder les matériels d’accès à internet. Ainsi de cette manière si l’un des routeur subi une attaque, le second peut prendre le relais et il n’y a donc pas d’interruption de services.

A bientôt chez BuggUp.net

Contactez-nous

 

Sources

ANSSI, CERTFR-2018-ACT-010, https://www.cert.ssi.gouv.fr/actualite/CERTFR-2018-ACT-010/

Justice.gov, Département de la justice USA, https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

Développez.com, https://www.developpez.com/actu/207958/Le-malware-VPNFilter-utilise-pour-pirater-plus-de-500-000-routeurs-est-plus-sophistique-que-ne-laissaient-penser-les-premieres-analyses/

TALOS, Partie 1, https://blog.talosintelligence.com/2018/05/VPNFilter.html

TALOS, Partie 2, https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

TALOS, Partie 3, https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+feedburner/Talos+(Talos%E2%84%A2+Blog)&m=1

Kaspersky, https://securelist.com/vpnfilter-exif-to-c2-mechanism-analysed/85721/

ShadowServer, https://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts

API, Récupération adresse IP Publique, http://api.ipify.org?format=json

Symantec, FilterCheck, http://www.symantec.com/filtercheck/

NIST, CVE-2018-14847, https://nvd.nist.gov/vuln/detail/CVE-2018-14847

Symantec, https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

JASK, https://jask.com/from-russia-with-love/