Logiciel malveillant VPN Filter

TP-Link router. © iStock.

Le sophistiqué logiciel malveillant VPN Filter utilise des vulnérabilités connues pour infecter les routeurs fabriqués par Linksys, MikroTik, Netgear, QNAP et TP-Link. Une fois en place, le logiciel fait appel à une infrastructure centrale qui peut installer des “plug-ins” spécialisés sur le routeur. Un plug-in permet aux pirates d’écouter le trafic Internet de la victime pour voler ses informations d’identification sur le Web ; un autre vise un protocole utilisé dans les réseaux de contrôle industriel, comme ceux du réseau électrique. Un troisième permet à l’attaquant de paralyser n’importe quel matériel infecté, voire tous ceux qui sont infectés. L’ensemble des unités infectées dans des dizaines de pays constitue un botnet de plus de 500 000 routeurs qui serait contrôlé par un groupe de pirates russe appelé Sofacy. Le FBI vient cependant de porter un coup probablement fatal à ce botnet en effaçant des photos sur Photobucket dont les métadonnées étaient utilisées par VPN Filter et en récupérant le nom de domaine d’une infrastructure de secours après qu’un juge fédéral ait ordonné le transfert auprès du registraire Verisign.

⇨ Ars Technica, “Hackers infect 500,000 consumer routers all over the world with malware.”

⇨ Ars Technica, “FBI seizes domain Russia allegedly used to infect 500,000 consumer routers.”