VPNFilter : une menace discrète mais bien réelle

Les chercheurs des équipes Talos de Cisco avaient prévenu, fin mai : VPNFilter embarque des « composants permettant de voler les identifiants de sites Web et de surveiller le protocole Modbus », utilisé pour certains systèmes de contrôle industriel (ICS/Scada). De quoi laisser craindre des attaques sur de telles cibles. Et si l’on en croît les autorités ukrainiennes, la menace s’est récemment concrétisée.

Dans un communiqué de presse, elles indiquent ainsi avoir bloqué une tentative d’attaque visant une station de chloration dont le but aurait été d’en « boquer durablement le fonctionnement ». Ce qui aurait affecté l’approvisionnement en eau de tout le pays. Les services de sécurité d’Ukraine affirment que l’attaque a été conduite en s’appuyant sur le maliciel VPNFilter. Et d’accuser ouvertement les services du renseignement russes.

Fin mai, les chercheurs de Cisco ont souligné que le code VPNFilter présente d’importantes similarités avec celui utilisé par le groupe BlackEnergy. A l’automne dernier, de nombreux chercheurs soulignaient la parenté apparente entre Bad Rabbit et les outils des Telebots. Group IB relevait d’ailleurs que certains modules avaient été compilés à l’été 2014, ce qui « correspond aux séquences de BlackEnergy », ou Sandworm, et dont Telebots serait une spin-off. Eset avait déjà évoqué cette piste pour NotPetya.

Au printemps, le FBI a pris le contrôle d’un domaine lié à l’infrastructure de commande et de contrôle de VPNFilter. Mais cela n’a pas suffi à réduire la menace, loin de là. Très modulaire, ce logiciel malveillant peut évoluer rapidement. Fin mai, un composant visant à compromettre des hôtes du réseau, postes de travail et serveurs, en injectant du code Javascript malicieux dans le trafic http, a ainsi été découvert.

VPNFilter est soupçonné de viser tout particulièrement l’Ukraine, sur un éventail de plus en plus large d’équipements signés Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti, Uplevel et ZTE. Trend Micro recense ainsi plus d’une dizaine de marques et 70 modèles d’appareils. L’éditeur souligne au passage le rôle des mauvaises pratiques dans la propagation de VPNFilter - parmi d’autres menaces : « nombre de ces appareils utilisent encore de vieilles versions de firmware », pour un total de rien moins que 19 vulnérabilités.

En s’appuyant sur les données de télémétrie de ses solutions d’hygiène de sécurité domestique, Trend Micro explique avoir observé que « 34 % des réseaux personnels comportent au moins un appareil affecté par une vulnérabilité connue ». Et parmi ceux-ci, « 9 % des appareils vulnérables sont potentiellement affectés par VPNFilter ».