VPNFilter : le maliciel au cœur d’un botnet qui n’en finit pas de renaître

Ce sont des chercheurs des équipes Talos de Cisco qui ont initialement levé le voile sur VPNFilter. Selon eux, ce logiciel malveillant a été implanté sur des centaines de milliers de routeurs et de systèmes de stockage en réseau (NAS) à travers le monde. Et il n’est pas sans présenter des capacités pour le moins préoccupantes : « certains composants permettent de voler les identifiants de sites Web et de surveiller le protocole Modbus », utilisé pour certains systèmes de contrôle industriel (ICS/Scada). Qui plus est, le maliciel embarque des fonctionnalités destructrices susceptibles de rendre inutilisable l’équipement compromis.

Modulaire, VPNFilter dispose de capacités de persistance : sa charge utile peut être neutralisée par un redémarrage, parce qu’elle réside en mémoire vive, mais pas son module principal, qui pourra alors télécharger à nouveau une charge utile.

Le FBI a pris le contrôle d’un domaine lié à l’infrastructure de commande et de contrôle du maliciel. Ce qui aurait dû contribuer à réduire la menace. Mais deux semaines plus tard, VPNFilter est toujours actif. Il viserait tout particulièrement l’Ukraine, sur un éventail de plus en plus large d’équipements signés Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti, Uplevel et ZTE.

Pour les équipes de Talos, cela ne fait pas de doute : « la menace que fait peser VPNFilter continue de croître ». Et cela à plus forte raison qu’un nouveau module de la charge utile a été découvert : il vise à compromettre des hôtes du réseau, postes de travail et serveurs, en injectant du code Javascript malicieux dans le trafic http. Les requêtes d’authentification auprès des services de Google sont ainsi particulièrement surveillées par ce code.

Le code VPNFilter présente d’importante similarités avec celui utilisé par le groupe BlackEnergy. De quoi laisser penser à une opération très ciblée. Car c’est loin d’être une première.

A l’automne dernier, de nombreux chercheurs soulignaient ainsi la parenté apparente entre Bad Rabbit et les outils des Telebots. Group IB relevait d’ailleurs que certains modules avaient été compilés à l’été 2014, ce qui « correspond aux séquences de BlackEnergy », ou Sandworm, et dont Telebots serait une spin-off. Eset avait déjà évoqué cette piste pour NotPetya.