Il y a quelques semaines, des experts en sécurité de l'information ont
mis en garde contre un malware malveillant appelé VPNFilter. Il s'est avéré que l'objectif principal de ce logiciel malveillant était les routeurs de divers fabricants. L'une des premières de VPNFilter était une équipe
d' experts en sécurité des informations
Cisco Talos .
Le malware est constamment amélioré par les développeurs. Récemment, un nouveau module a été découvert qui utilise le
type d'attaque man-in-the-middle en ce qui concerne le trafic entrant. Les attaquants peuvent modifier le trafic passant par le routeur. Ils peuvent également rediriger toutes les données vers leurs serveurs sans aucun problème. Le module antivirus est appelé ssler.
En plus de modifier le trafic entrant, ssler peut également transférer les données personnelles de la victime à ses créateurs. Il peut s'agir de mots de passe pour diverses ressources que les cybercriminels utilisent ensuite à différentes fins.
Pour empêcher le vol d'informations personnelles, le cryptage TLS est généralement utilisé, ce que le malware peut contourner. Cela se fait en «rétrogradant» les connexions HTTPS au trafic HTTP, qui n'est protégé par rien. Ensuite, les en-têtes de demande sont remplacés, ce qui indique que le point d'accès est vulnérable. Ssler modifie spécifiquement le trafic de diverses ressources, dont Google, Facebook, Twitter et Youtube. Le fait est que ces services offrent une protection supplémentaire. Par exemple, Google redirige le trafic HTTP vers les serveurs HTTPS. Mais le module vous permet de contourner cette protection, afin que les attaquants reçoivent du trafic non chiffré.
Dès la découverte d'un virus, les experts en sécurité de l'information
explorent ses capacités . Maintenant, il s'est avéré qu'il était plus dangereux qu'on ne le pensait. Auparavant, par exemple, les experts Cisco ont affirmé que la tâche principale des attaquants était d'infecter les périphériques réseau dans les bureaux de l'entreprise et les domiciles des victimes. Peut-être pour former un botnet. Mais maintenant, il s'est avéré que c'était les utilisateurs, ou plutôt, leurs données - l'objectif principal.
«Au départ, lorsque nous avons découvert le virus, nous pensions qu'il avait été créé pour implémenter différents types d'attaques réseau. Mais il s'est avéré que ce n'est pas du tout la tâche principale et la possibilité de logiciels malveillants. Il a été créé principalement pour voler les données des utilisateurs et modifier le trafic. Par exemple, un virus peut modifier le trafic de telle manière qu'un utilisateur client-banque verra le même montant dans son compte. Mais en fait, l'argent n'a pas été là depuis longtemps », a déclaré le rapport des experts en cybersécurité.
Fait intéressant, la plupart des appareils infectés se trouvent en / en Ukraine. Les mesures de protection comme
HTTP Strict Transport Security ne sont pas très courantes ici, donc les données des utilisateurs sont en danger. Mais dans d'autres pays, il y a des problèmes - par exemple, aux États-Unis et en Europe occidentale, de nombreux appareils moralement obsolètes ne prennent pas en charge le travail avec HTTPS, tout en continuant à utiliser HTTP.
Il a été signalé précédemment que les modèles de routeur les plus vulnérables à ce virus sont des appareils fabriqués par ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE. En fait, la gamme d'appareils vulnérables au virus est beaucoup plus large. Cela, y compris les modèles de Linksys, MikroTik, Netgear et TP-Link.
Liste complète des appareils vulnérablesAsus:
RT-AC66U (nouveau)
RT-N10 (nouveau)
RT-N10E (nouveau)
RT-N10U (nouveau)
RT-N56U (nouveau)
RT-N66U (nouveau)
D-Link:
DES-1210-08P (nouveau)
DIR-300 (nouveau)
DIR-300A (nouveau)
DSR-250N (nouveau)
DSR-500N (nouveau)
DSR-1000 (nouveau)
DSR-1000N (nouveau)
Huawei:
HG8245 (nouveau)
Linksys:
E1200
E2500
E3000 (nouveau)
E3200 (nouveau)
E4200 (nouveau)
RV082 (nouveau)
WRVS4400N
Mikrotik:
CCR1009 (nouveau)
CCR1016
CCR1036
CCR1072
CRS109 (nouveau)
CRS112 (nouveau)
CRS125 (nouveau)
RB411 (nouveau)
RB450 (nouveau)
RB750 (nouveau)
RB911 (nouveau)
RB921 (nouveau)
RB941 (nouveau)
RB951 (nouveau)
RB952 (nouveau)
RB960 (nouveau)
RB962 (nouveau)
RB1100 (nouveau)
RB1200 (nouveau)
RB2011 (nouveau)
RB3011 (nouveau)
RB Groove (nouveau)
RB Omnitik (nouveau)
STX5 (nouveau)
Netgear:
DG834 (nouveau)
DGN1000 (nouveau)
DGN2200
DGN3500 (nouveau)
FVS318N (nouveau)
MBRN3000 (nouveau)
R6400
R7000
R8000
Wnr1000
Wnr2000
WNR2200 (nouveau)
WNR4000 (nouveau)
WNDR3700 (nouveau)
WNDR4000 (nouveau)
WNDR4300 (nouveau)
WNDR4300-TN (nouveau)
UTM50 (nouveau)
QNAP:
TS251
TS439 Pro
Autres NAS QNAP avec QTS
TP-Link:
R600VPN
TL-WR741ND (nouveau)
TL-WR841N (nouveau)
Ubiquiti:
NSM2 (nouveau)
PBE M5 (nouveau)
Upvel:
Modèles inconnus * (nouveau)
ZTE:
ZXHN H108N (nouveau)
Et ce n'est pas tout
En plus de tout ce qui a été annoncé ci-dessus, Talos a rapporté la découverte d'un module renifleur. Il analyse le trafic dans la recherche de données d'un certain type associées au fonctionnement des systèmes industriels. Ce trafic passe par le TP-Link R600, qui est déterminé par le module. De plus, le module recherche les accès IP à partir d'une certaine plage, ainsi que les paquets de données de 150 octets ou plus.
«Les créateurs du virus recherchent des choses très spécifiques. Ils n'essaient pas de collecter autant d'informations que possible, pas du tout. Ils ont besoin de mots de passe, de connexions, d'un accès à une plage IP spécifique, etc. Nous essayons de comprendre qui peut avoir besoin de tout cela », expliquent les chercheurs.
Mais ce n'est pas tout, car maintenant que le virus est mis à jour, un module d'autodestruction est apparu dans sa fonctionnalité. Lorsque le module est activé, le virus est supprimé de l'appareil sans aucune trace.
Malgré le fait que le FBI ait découvert et saisi le serveur principal il y a environ une semaine, le botnet est toujours actif, les mesures prises n'étaient clairement pas suffisantes.