Le 23 mai 2018, les chercheurs de Talos ont découvert un virus particulièrement sophistiqué, qu’ils ont nommé VPNFilter. En quelques jours, ce virus a compromis près de cinq cent mille routeurs et NAS (serveur de stockage en réseau). La plupart étaient situés en Ukraine mais plus de cinquante-quatre pays, dont les États-Unis et la France, seraient concernés par l’incident. Même s’il ne présente pas d’originalité majeure, le fonctionnement de VPNFilter témoigne du grand professionnalisme de ses auteurs présumés, déjà connu pour Petya/NotPetya et BlackEnergy. VPNFilter donne également une preuve supplémentaire de la vulnérabilité des objets connectés.
C’est un malware qui cible les appareils qui utilisent le framework BusyBox. Ce dernier est très fréquemment utilisé par les fabricants d’objets connectés, ce qui lui vaut d’être considéré comme le « couteau suisse de l’IoT ».
Une fois que VPNFilter est parvenu à infecter un appareil, il cherche à se connecter à différents serveurs de commande et contrôle (C&C). C’est en effet un virus modulaire : le module à l’origine de l’infection ne contient aucune charge utile (payload) mais sert à établir un contact avec un serveur C&C pour récupérer d’autres modules. L’incident du 23 mai a été rapidement contenu car le FBI a fait saisir les différents noms de domaine utilisés par VPNFilter. Privé de ses modules supplémentaires, le malware s’est souvent retrouvé privé de ses capacités offensives.
Lorsqu’il parvient à contacter l’un des serveurs C&C, VPNFilter charge un deuxième module qui contient sa véritable payload. A ce stade, le virus devient notamment capable d’exécuter des commandes shell, de manipuler des fichiers ou encore de redémarrer son hôte. Surtout, il est capable de détruire définitivement l’appareil infecté en altérant sa partition de démarrage. Cette capacité n’est pas sans rappeler le malware BrickerBot (avril 2017) qui ciblait déjà une vulnérabilité de BusyBox pour détruire les objets connectés dont les propriétaires n’avaient pas changé les mots de passe par défaut.
Néanmoins, il semblerait que la destruction pure des victimes de VPNFilter n’ait pas été la principale motivation des attaquants. Les analystes de Talos ont en effet mis en évidence l’existence de modules supplémentaires qui étendent les capacités du deuxième module. L’un d’entre eux rend ainsi ce virus capable de se connecter à Tor et un autre semble rechercher des systèmes SCADA. Même si l’incident du 23 mai 2018 s’est avéré finalement bénin, la modularité de ce virus a conduit les services secrets ukrainiens à estimer que VPNFilter devait servir à mener une attaque de grande ampleur lors de la finale de la Ligue des Champions qui a eu lieu trois jours plus tard. Cette hypothèse reste à prendre avec prudence mais n’est pas à exclure : les auteurs présumés de VPNFilter sont déjà connus pour BlackEnergy, un APT (Advanced Persistent Threat) qui a compromis plusieurs des sites industriels, dont des centrales électriques ukrainiennes en 2016.
Comme souvent avec les attaques qui concernent l’IoT, il peut être assez difficile de déterminer avec certitude si un appareil a été compromis par VPNFilter et de retirer le malware. Le FBI a suggéré de redémarrer tous les routeurs pour contenir l’infection. Cette mesure permet de supprimer tous les modules du malware, à l’exception du premier. Seule une réinitialisation complète de l’appareil permet de le retirer intégralement.
Malgré sa sophistication, l’incident VPNFilter aurait été évité si les propriétaires des appareils avaient pris en compte dans leur politique de sécurité les risques posés par l’IoT. VPNFilter ciblait essentiellement des appareils qui n’avaient pas été mis à jour depuis un certain temps ou dont la maintenance n’était plus assurée par le fabriquant. Le malware exploite en outre des vulnérabilités connues, qui étaient souvent détectables par un firewall. Le comportement du virus (ouverture de ports, chargement de fichiers…) aurait enfin pu déclencher des alertes de sécurité. Malheureusement, la plupart des victimes sont souvent des PMEs ou des particuliers qui n’ont que très rarement initié une réflexion sur la sécurité informatique.
