C’est en chantonnant l’air d’Offenbach « J’entends le bruit des boot des boot des boot… » que le FBI conseille au monde entier au pire, de redémarrer certains modèles de routeurs et NAS, au mieux, de les initialiser en « configuration usine » en prenant soin de ne pas conserver le mot de passe par défaut.
Car, explique le DoJ, 3 modèles de routeurs Linksys, 3 Mikrotik, 6 Netgear, un TP-Link et au moins deux NAS de fabrication Qnap seraient vulnérables au malware VPNFilter. Lequel est décortiqué par l’équipe de Thalos. Selon les chercheurs, la paternité de cette attaque est probablement signée par le groupe de blackhat Russes FancyBear/APT28, déjà accusés d’avoir trempé dans les attaques durant les dernières élections présidentielles US.
Toujours selon le DoJ, près d’un demi-million d’équipements seraient actuellement infectés (c’est donc encore une « petite » attaque). Ces appareils appartenant en majorité à la catégorie des périphériques grand public, il y a peu de chances que les avertissements et alarmes lancés par la presse spécialisée soient entendus. Les meilleures attaques persistantes ne dépendent pas de la subtilité de leur code, mais du choix de leurs cibles.
Mais tout « grand public » que soient ces boîtiers, VPNFilter les utilise comme plateforme d’analyse du réseau local qui y est attaché, et tente de détecter notamment toute activité Modbus, précise l’Avert Lab de McAfee. Modbus est un bus de commande essentiellement utilisé dans les infrastructures de contrôle de processus, donc des installations industrielles et OIV.
Pour l’heure, les différents OEM cités n’ont pas encore fourni de firmware de remplacement. Le « reboot » des systèmes vulnérables ne fait qu’éliminer la partie résident en mémoire du vecteur de compromission, mais ne garantit pas une éradication totale de l’infection.