Publicité en cours de chargement...

Publicité en cours de chargement...

VPNFilter : un inquiétant logiciel malveillant qui se répand

24 mai 2018 - 11:47,
Tribune - Charles Blanc-Rolin
L'équipe de chercheurs en sécurité Talos (Cisco) annonce la propagation d'un nouveau cheval de Troie baptisé VPNFilter [1]. Plus de 500 000 appareils seraient impactés à travers le monde, dont une majorité en Ukraine.

vpn_filter

Ce malware ciblerait des routeursde petites et moyennes structures, ainsi que des serveurs de fichiers (NAS) des constructeursLinksys, MikroTik, NETGEAR, TP-Link, SOHO et QNAP.

Le malware fonctionnerait en 3 étapes, pour le niveau 1, il semblerait qu'il soit capable de modifier le firmware des appareils puisqu'il persiste au redémarrage des appareils. Le niveau 1 permet de prendre racine dans le système d'information et par la suite de déployer le niveau 2 en établissant des connexions à des serveurs C2 [2]. Il serait apparemment capable de s'adapter à des changement de serveurs C2 (listing important pré-établi, DNS, l'article ne nous le dit pas).

Le niveau 2, non persistant, permet la collecte et l'exfiltration de données, mais aussi de contrôler le périphérique infecté, avec la possibilité de le rendre inutilisable.

Selon les chercheurs, il pourrait être envisagé que ce logiciel malveillant soit utilisé pour mener une attaque destructrice à grande échelle. Le CERT US a d’ailleurs ouvert une alerte sur ce sujet [3].

Le niveau 3 se composerait de modules additionnels au niveau 2, permettant d'analyser le trafic et voler des informations, telles que des identifiants et mots de passe, mais aussi de surveiller des protocoles Modbus SCADA, ainsi qu'un module capable d'établir des connexions avec le réseau TOR.

Talos a développé et mis à disposition plus de 100 signatures SNORT pour détecter l'infection[4].

Si vous utilisez SNORT dans vous outils de détection IDS / IPS, pensez vérifier les mises à jour pour savoir si vous êtes impacté.
Le logiciel malveillant n’est pas simple à éradiquer puisque le niveau 1 s’en prend directement au firmware de l’appareil.
Voici les premières recommandations de Talos pour le moment :

  • Les utilisateurs de routeurs SOHO et / ou de périphériques NAS doivent réinitialiser les paramètres d'usine et les redémarrer afin de supprimer les malwares potentiellement destructeurs, non persistants, de niveau 2 et de niveau 3.
  • Les fournisseurs de services Internet qui fournissent des routeurs SOHO à leurs clients doivent redémarrer les routeurs au nom de leurs clients.
  • Si vous avez l'un des périphériques connus ou suspectés d'être affectés par cette menace, il est extrêmement important que vous travailliez avec le fabricant pour vous assurer que votre périphérique est à jour avec les dernières versions des correctifs. Si ce n'est pas le cas, vous devez appliquer les correctifs mis à jour immédiatement.

Même si la France ne semble pas particulièrement ciblée pour l’instant, soyons prudents et restons sur nos gardes.


[1] 

[2] 

[3] 

[4] 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.