Publicité en cours de chargement...
VPNFilter : un inquiétant logiciel malveillant qui se répand
Ce malware ciblerait des routeursde petites et moyennes structures, ainsi que des serveurs de fichiers (NAS) des constructeursLinksys, MikroTik, NETGEAR, TP-Link, SOHO et QNAP.
Le malware fonctionnerait en 3 étapes, pour le niveau 1, il semblerait qu'il soit capable de modifier le firmware des appareils puisqu'il persiste au redémarrage des appareils. Le niveau 1 permet de prendre racine dans le système d'information et par la suite de déployer le niveau 2 en établissant des connexions à des serveurs C2 [2]. Il serait apparemment capable de s'adapter à des changement de serveurs C2 (listing important pré-établi, DNS, l'article ne nous le dit pas).
Le niveau 2, non persistant, permet la collecte et l'exfiltration de données, mais aussi de contrôler le périphérique infecté, avec la possibilité de le rendre inutilisable.
Selon les chercheurs, il pourrait être envisagé que ce logiciel malveillant soit utilisé pour mener une attaque destructrice à grande échelle. Le CERT US a d’ailleurs ouvert une alerte sur ce sujet [3].
Le niveau 3 se composerait de modules additionnels au niveau 2, permettant d'analyser le trafic et voler des informations, telles que des identifiants et mots de passe, mais aussi de surveiller des protocoles Modbus SCADA, ainsi qu'un module capable d'établir des connexions avec le réseau TOR.
Talos a développé et mis à disposition plus de 100 signatures SNORT pour détecter l'infection[4].
Si vous utilisez SNORT dans vous outils de détection IDS / IPS, pensez vérifier les mises à jour pour savoir si vous êtes impacté.
Le logiciel malveillant n’est pas simple à éradiquer puisque le niveau 1 s’en prend directement au firmware de l’appareil.
Voici les premières recommandations de Talos pour le moment :
- Les utilisateurs de routeurs SOHO et / ou de périphériques NAS doivent réinitialiser les paramètres d'usine et les redémarrer afin de supprimer les malwares potentiellement destructeurs, non persistants, de niveau 2 et de niveau 3.
- Les fournisseurs de services Internet qui fournissent des routeurs SOHO à leurs clients doivent redémarrer les routeurs au nom de leurs clients.
- Si vous avez l'un des périphériques connus ou suspectés d'être affectés par cette menace, il est extrêmement important que vous travailliez avec le fabricant pour vous assurer que votre périphérique est à jour avec les dernières versions des correctifs. Si ce n'est pas le cas, vous devez appliquer les correctifs mis à jour immédiatement.
Même si la France ne semble pas particulièrement ciblée pour l’instant, soyons prudents et restons sur nos gardes.
[1]
[2]
[3]
[4]
Avez-vous apprécié ce contenu ?
A lire également.

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.