ATP 28 a encore frappé !

Depuis des années, on ne compte plus le nombre de cyberattaques partout dans le Monde ! Les Etats, les personnages importants, mais aussi les particuliers y ont droit. Récemment, les équipes de Talos ont découverts un malware ayant infecté plus de 500.000 routeurs : le VPN Filter. Le ministère Américain de la Justice l’a affirmé : c’est encore le groupe ATP 28 qui en est responsable.

Le malware VPN Filter est plutôt puissant !

La société Américaine Talos, une branche du threat intelligence de Cisco, a découvert plus de 500.000 routeurs et systèmes de NAS dans plus de 54 pays actuellement atteints du nouveau malware VPN Filter. Les dispositifs infectés sont ceux de Netgear, TP-link, Linksys et Mikrotik, que ce soient des routeurs d’entreprises, de petits bureaux ou personnels. Le fait que les chercheurs en sécurité se soient maintenant rendu compte de la présence du malware est dû à une augmentation des infections au cours des dernières semaines.

 

Le VPN Filter fonctionne selon une procédure bien connue. Celle-ci se déroule en plusieurs étapes. Au début, un plus petit programme se niche dans les dispositifs compromis. Il télécharge alors automatiquement d’autres modules d’un centre de commande (serveur C&C) permettant au hacker de voler des données ou de prendre les commandes de l’appareil. Une des caractéristiques inquiétantes de VPN Filter est que le malware peut rendre le dispositif infecté inutilisable à partir de ce point. En effet, il peut écraser, s’il en reçoit la commande, une partie du firmware puis redémarrer l’équipement, devenu inopérant. Ceci permet aux opérateurs hackers d’effectuer « une attaque destructive à grande échelle ».

 

C’est aussi une question de défaillance au niveau de la sécurité

La première cause de cette invasion du virus VPN Filter est la défaillance du système de sécurité de ces dispositifs. En effet, des failles de ce côté n’ont été que constatées mais rarement corrigées. Les attaques du VPN Filter se sont multipliées se succédant à celles du Botnet Mirai. Rappelons que récemment, ce dernier a fait les gros titres en fin d’année 2016 en infectant plus de 600.000 machines !  Selon Talos, il n’y a actuellement qu’une seule mesure efficace que les propriétaires des dispositifs infectés doivent prendre : redémarrer l’appareil et le réinitialiser aux paramètres d’usine. Et la mise à jour de progiciels de sécurité doit se faire régulièrement.

Un coup du groupe ATP 28 !

Selon Talos, et le Ministère américain de la Justice l’a annoncé, c’est le groupe notoire ATP 28  qui serait responsable de l’attaque par VNP Filter. Ce groupe a déjà été pointé du doigt dans le passé pour différentes attaques aux Etats-Unis et en Europe occidentale. En effet, le malware possède des origines puisées dans un autre, Blackenergy, ayant attaqué le réseau électrique ukrainien. Fancy Bear, un autre nom du groupe de hackers, est suspecté d’être lié au gouvernement ou aux services secrets russes. Ils auraient également agit pour manipuler les élections américaines de 2016 et pirater la chaîne TV5 Monde.