VPNFilter : l'oeuvre d'un acteur avancé

Les opérateurs de VPNFilter ne manquent manifestement pas de créativité. Les équipes de renseignement sur les menaces de Cisco, le groupe Talos, viennent ainsi de détailler les fonctionnalités de sept modules nouvellement découverts pour cette menace. Celles-ci s’avèrent étendues.

Ces modules nouvellement découverts ajoutent ainsi à VPNFilter des capacités supplémentaires de cartographie réseau et de compromission d’hôtes, mais également de dissimulation et/ou chiffrement de trafic - qu’il s’agisse de communications avec les serveurs de commande et de contrôle ou d’exfiltration de données.

A cela s’ajoutent des outils pouvant être utilisés pour identifier d’autres cibles sur le réseau, des hôtes présentant un intérêt particulier, ou au moins ouvrant la voie à des déplacements latéraux. En outre, VPNFilter permet à ses opérateurs de créer un réseau distribué de serveurs mandataires, des proxy Socks, sur la base des routeurs compromis. Enfin, l’un des modules permet d’empêcher l’utilisation de certains services de messagerie chiffrée, comme WhatsApp, Wickr ou encore Signal, notamment.

Pour mémoire, VPNFilter est soupçonné de viser tout particulièrement l’Ukraine, et en particulier les équipements Microtik. Mi-juillet dernier, les autorités ukrainiennes affirmaient avoir bloqué une tentative d’attaque sur une station de chloration, menée avec cette menace.

Fin mai, les chercheurs de Cisco ont souligné que le code VPNFilter présentait d’importantes similarités avec celui utilisé par le groupe BlackEnergy. A l’automne dernier, de nombreux chercheurs soulignaient la parenté apparente entre Bad Rabbit et les outils des Telebots. Le groupe IB relevait d’ailleurs que certains modules avaient été compilés à l’été 2014, ce qui « correspond aux séquences de BlackEnergy », ou Sandworm, et dont Telebots serait une spin-off. Eset avait déjà évoqué cette piste pour NotPetya.

Au printemps, le FBI a pris le contrôle d’un domaine lié à l’infrastructure de commande et de contrôle de VPNFilter. Aujourd’hui, selon les équipes Talos, la menace aurait été « entièrement neutralisée » : « la plupart des canaux de commande et de contrôle du maliciel ont été bloqués. Les implants de niveau 2 étaient non-persistants et ont probablement été effacés des appareils infectés ». Surtout, il ne semble pas y avoir eu de tentative de reconnexion à des équipements toujours compromis par le premier étage du maliciel.

Mais cela ne signifie pas que les acteurs à l’origine de VPNFilter aient cessé leurs activités. Pour les équipes de Talos, « ils continuent à développer et à utiliser les outils et les frameworks nécessaires pour atteindre leurs objectifs de mission ».