Les États-Unis visent les pirates informatiques Russes qui ont infecté plus de 500 000 routeurs.

Le malware VPNFilter a ciblé des appareils dans le monde entier à partir de Linksys, MikroTik, Netgear et TP-Link.

On en parlait dans un article (La Russie est accusée d’avoir détourné des routeurs dans le monde entier), le malware, appelé VPNFilter, a infecté plus de 500 000 routeurs dans 54 pays, selon les chercheurs.

Plus d’un demi-million de routeurs et d’appareils réseau dans 54 pays ont été infectés par des logiciels malveillants sophistiqués, préviennent des chercheurs du groupe d’intelligence Talos de Cisco.

Le malware, que les chercheurs appellent VPNFilter, contient un killswitch pour les routeurs, pouvant dérober les logins et les mots de passe et peut surveiller les systèmes de contrôle industriels.

Une attaque aurait le potentiel de couper l’accès à Internet pour tous les appareils, a déclaré mercredi William Largent, un chercheur de Talos, dans un article de blog.

Tard mercredi, le FBI a reçu l’autorisation du tribunal de saisir un domaine Internet que le Département de la Justice a déclaré qu’un groupe de piratage russe, connu sous le nom de Sofacy Group, utilisait pour contrôler les appareils infectés. Le groupe, qui porte également les noms Apt28 et Fancy Bear, a ciblé des organisations gouvernementales, militaires et de sécurité depuis au moins 2007.

« Cette opération est la première étape de la perturbation d’un botnet qui fournit aux acteurs de Sofacy un éventail de capacités pouvant être utilisées à diverses fins malveillantes, notamment la collecte de renseignements, le vol d’informations précieuses, les attaques destructrices ou perturbatrices », a déclaré John Demers, procureur général adjoint à la sécurité nationale, dans un communiqué.

Les attaques sur les routeurs ne sont pas seulement un problème, car elles peuvent bloquer l’accès à Internet, mais aussi parce que les pirates peuvent utiliser le logiciel malveillant pour surveiller l’activité sur le Web, y compris l’utilisation des mots de passe. En avril, des responsables américains et britanniques ont mis en garde contre des pirates informatiques Russes ciblant des millions de routeurs à travers le monde, avec des plans pour mener des attaques massives en utilisant les appareils. Dans cette annonce, le FBI a appelé les routeurs « une arme formidable entre les mains d’un adversaire ».

« Tout est possible, cette attaque met essentiellement en place un réseau caché pour permettre à un acteur d’attaquer le monde à partir d’une position qui rend l’attribution très difficile », a déclaré Craig Williams, directeur de Talos, dans un courriel.

VPNFilter a infecté les routeurs en Ukraine en particulier à un « taux alarmant », avec un pic d’infections dans le pays d’Europe de l’Est les 8 et 17 mai. Talos a indiqué que le malware pourrait être utilisé dans une future attaque contre le pays. Les chercheurs ont déclaré que le nouveau malware partageait beaucoup des mêmes codes utilisés dans les cyberattaques connues en Russie et a qualifié l’attaque de « probablement sponsorisée par l’Etat ».

Les chercheurs de Talos étudient toujours la façon dont le malware infecte les routeurs, mais ont déclaré que les routeurs de Linksys, MikroTik, Netgear et TP-Link sont affectés.

Netgear a déclaré qu’il était au courant de VPNFilter et conseillait ses utilisateurs de mettre à jour leurs routeurs.

« Netgear étudie et mettra à jour cet avis au fur et à mesure que de nouvelles informations seront disponibles », a déclaré un porte-parole dans un communiqué envoyé par courrier électronique.

MicroTik a reconnu que Cisco l’avait informé d’un outil malveillant trouvé sur trois appareils qu’il avait fabriqués, et a déclaré qu’il avait déjà appliqué un correctif pour réduire la vulnérabilité à l’origine de l’installation du logiciel malveillant. « Simplement mettre à jour le logiciel RouterOS supprime les logiciels malveillants, tous les autres fichiers tiers et ferme la vulnérabilité », a déclaré un porte-parole.

Les deux autres sociétés de réseau n’ont pas fait de commentaire.

Les chercheurs ont publié leurs résultats ce jour par souci d’une éventuelle attaque à venir contre l’Ukraine. Le pays a été à plusieurs reprises victime des cyberattaques russes, notamment le rançongiciel NotPetya, que les autorités américaines et britanniques ont qualifié de « cyberattaque la plus destructrice de tous les temps ».

Les chercheurs ont également attribué à une panne d’électricité en 2016 en Ukraine à des pirates informatiques russes qui ont utilisé des logiciels malveillants pour cibler les systèmes de contrôle industriel.

La Cyber Threat Alliance, dont Cisco est membre, a informé les entreprises sur les logiciels malveillants destructeurs, qualifiant VPNFilter de «menace sérieuse».

« La structure de commandement flexible du logiciel malveillant permet à l’adversaire de l’utiliser pour bricoler ces dispositifs, ce qui n’est pas une fonctionnalité habituellement intégrée aux logiciels malveillants », a déclaré le président de la Cyber Threat Alliance, Michael Daniel.

Talos recommande aux utilisateurs de réinitialiser leurs routeurs aux paramètres d’usine par défaut pour supprimer les logiciels malveillants potentiellement destructeurs et mettre à jour leurs appareils dès que possible.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage