Le FBI communique sur le piratage de 500 000 routeurs domestiques ou de bureau (news)

image Frank Schwichtenberg©

 

Mise à jour du 09/06/18

Le FBI (Federal Bureau of Investigation) a communiqué vendredi 25/05/18 que les pirates informatiques russes avaient compromis des centaines de milliers de routeurs domestiques et d’entreprises et qu’ils pouvaient collecter des informations sur les utilisateurs ou bloquer le trafic réseau.

L’agence américaine a exhorté les propriétaires de nombreuses marques de routeurs à les éteindre et à relancer et télécharger les mises à jour de firmware pour se protéger.

L’avertissement a suivi un ordre du tribunal mercredi 23/05 qui a permis au FBI de saisir un site Web que les pirates avaient l’intention d’utiliser pour transmettre des instructions aux routeurs.

Bien que ce site ait été neutralisé, les routeurs concernés sont toujours infectés et vulnérables, d’où les conseils de mises à jours de ces matériels.

Des infections ont été détectées dans plus de 50 pays, bien que la cible principale pour d’autres actions ait été probablement l’Ukraine, le site de nombreuses infections récentes et un champ de bataille de longue date.

Les propriétaires de NAS pourraient également être concernés.

image d’illustration Linksys™

 

En obtenant l’ordonnance du tribunal, le ministère de la Justice a déclaré que les pirates impliqués appartenaient à un groupe appelé Sofacy qui a répondu au gouvernement russe.

Sofacy, également connu sous le nom de APT28 et Fancy Bear, a été blâmé pour la plupart des hacks russes les plus spectaculaires, y compris celui du Comité national démocrate lors de la campagne présidentielle américaine de 2016.

Les chercheurs de l’équipe de sécurité de Talos chez Cisco ont d’abord révélé l’existence du malware mercredi. Le rapport détaillé indique que le malware a infecté plus de 500 000 appareils fabriqués par Linksys, Mikrotik, Netgear, QNAP et TP-Link. 

Connu sous le nom de VPNFilter, ce logiciel malveillant permettait aux pirates de collecter des communications, de lancer des attaques sur d’autres personnes et de détruire définitivement les appareils à l’aide d’une seule commande. Le rapport indique que le logiciel malveillant a été développé par des pirates informatiques travaillant pour un pays avancé, peut-être la Russie, et a conseillé aux utilisateurs des modèles de routeur concernés d’effectuer une réinitialisation d’usine ou, au minimum, de redémarrer.

Un responsable du FBI a déclaré à Reuters que les appareils connus pour être affectés par le hack étaient achetés par les utilisateurs dans des magasins électroniques ou en ligne.

Cependant, le FBI n’excluait pas la possibilité que les routeurs fournis aux clients par les sociétés de services Internet puissent également être affectés, a ajouté le responsable.

Cisco a partagé les détails techniques de son enquête avec les gouvernements américain et ukrainien. Les experts occidentaux affirment que la Russie a mené une série d’attaques contre des entreprises ukrainiennes pendant plus d’un an au milieu d’hostilités armées entre les deux pays, causant des centaines de millions de dollars de dommages et au moins une panne d’électricité.

Le Kremlin a démenti jeudi l’accusation du gouvernement ukrainien selon laquelle la Russie planifiait une cyberattaque contre les organes de l’Etat ukrainien et les entreprises privées avant la finale du football de la Ligue des champions à Kiev samedi.

« La taille et la portée de l’infrastructure par les logiciels malveillants VPNFilter sont importantes », a déclaré le FBI, ajoutant qu’il est capable de rendre les routeurs « inutilisables ».

Il a déclaré que le malware est difficile à détecter, en raison du cryptage et d’autres tactiques.

Cisco a également découvert un nouveau module de niveau 3 qui injecte du contenu malveillant dans le trafic Web lorsqu’il passe à travers un périphérique réseau. « Au moment de notre publication initiale, nous ne disposions pas de toutes les informations concernant les modules présumés de niveau 3. Le nouveau module permet à l’acteur de fournir des exploits aux points de terminaison via une capacité man-in-the-middle (par exemple, ils peuvent intercepter le trafic réseau et y injecter du code malveillant sans que l’utilisateur le sache). Avec cette nouvelle découverte, nous pouvons confirmer que la menace va au-delà de ce que l’acteur pourrait faire sur le périphérique réseau lui-même, et étend la menace dans les réseaux pris en charge par un périphérique réseau compromis ». Les détails sur ce module, nommé “ssler” ont été fournis.

Le FBI a exhorté les gens à redémarrer leurs appareils pour perturber temporairement le malware et aider à identifier les appareils infectés.

Les utilisateurs devraient également envisager de désactiver les paramètres de gestion à distance, de changer les mots de passe et de passer au dernier microprogramme.

 

Liste des appareils concernés

Williams estime que les modèles supplémentaires mettent 200 000 routeurs supplémentaires dans le monde à risque d’être infectés. La liste complète des appareils ciblés est:

Appareils Asus:

  • RT-AC66U (nouveau)
  • RT-N10 (nouveau)
  • RT-N10E (nouveau)
  • RT-N10U (nouveau)
  • RT-N56U (nouveau)
  • RT-N66U (nouveau)

Périphériques D-Link:

  • DES-1210-08P (nouveau)
  • DIR-300 (nouveau)
  • DIR-300A (nouveau)
  • DSR-250N (nouveau)
  • DSR-500N (nouveau)
  • DSR-1000 (nouveau)
  • DSR-1000N (nouveau)

Appareils Huawei :
HG8245 (nouveau)

Dispositifs Linksys:

  • E1200
  • E2500
  • E3000 (nouveau)
  • E3200 (nouveau)
  • E4200 (nouveau)
  • RV082 (nouveau)
  • WRVS4400N

Appareils Mikrotik:

  • CCR1009 (nouveau)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nouveau)
  • CRS112 (nouveau)
  • CRS125 (nouveau)
  • RB411 (nouveau)
  • RB450 (nouveau)
  • RB750 (nouveau)
  • RB911 (nouveau)
  • RB921 (nouveau)
  • RB941 (nouveau)
  • RB951 (nouveau)
  • RB952 (nouveau)
  • RB960 (nouveau)
  • RB962 (nouveau)
  • RB1100 (nouveau)
  • RB1200 (nouveau)
  • RB2011 (nouveau)
  • RB3011 (nouveau)
  • RB Groove (nouveau)
  • RB Omnitik (nouveau)
  • STX5 (nouveau)

Appareils Netgear:

  • DG834 (nouveau)
  • DGN1000 (nouveau)
  • DGN2200
  • DGN3500 (nouveau)
  • FVS318N (nouveau)
  • MBRN3000 (nouveau)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nouveau)
  • WNR4000 (nouveau)
  • WNDR3700 (nouveau)
  • WNDR4000 (nouveau)
  • WNDR4300 (nouveau)
  • WNDR4300-TN (nouveau)
  • UTM50 (nouveau)

Périphériques QNAP:
TS251
TS439 Pro
Autres périphériques NAS QNAP exécutant le logiciel QTS

Dispositifs TP-Link:

  • R600VPN
  • TL-WR741ND (nouveau)
  • TL-WR841N (nouveau)

Périphériques Ubiquiti:

  • NSM2 (nouveau)
  • PBE M5 (nouveau)

Périphériques Upvel:
Modèles inconnus * (nouveau)

Appareils ZTE:
ZXHN H108N (nouveau)

 

Sources Reuters, Ars technica,Talos

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez accepter la politique de confidentialité pour pouvoir poster votre commentaire