Le ministère américain de la Justice a déclaré mercredi que le FBI avait subrepticement envoyé des commandes à des centaines de routeurs infectés de petits bureaux et de bureaux à domicile pour supprimer les logiciels malveillants que les pirates informatiques parrainés par l’État chinois utilisaient pour lancer des attaques sur les infrastructures critiques.
Les routeurs, principalement des appareils Cisco et Netgear qui avaient atteint leur fin de vie, ont été infectés par ce que l’on appelle le malware KV Botnet, ont indiqué des responsables du ministère de la Justice. Les pirates chinois d’un groupe suivi sous le nom de Volt Typhoon ont utilisé le malware pour intégrer les routeurs dans un réseau qu’ils pouvaient contrôler. Le trafic transitant entre les pirates et les appareils compromis a été crypté à l’aide d’un module VPN KV Botnet installé. À partir de là, les opérateurs de campagne se sont connectés aux réseaux des organisations américaines d’infrastructures critiques pour établir des postes qui pourraient être utilisés lors de futures cyberattaques. Cet arrangement a fait apparaître le trafic comme provenant d’adresses IP américaines jouissant d’une réputation digne de confiance plutôt que de régions suspectes de Chine.
Saisir les appareils infectés
Avant que le retrait puisse être effectué légalement, les agents du FBI devaient recevoir l’autorisation – techniquement pour ce qu’on appelle une saisie de routeurs infectés ou « appareils cibles » – d’un juge fédéral. Un premier affidavit sollicitant une autorisation a été déposé devant le tribunal fédéral américain de Houston en décembre. Depuis, des demandes ont été déposées.
« Pour effectuer ces saisies, le FBI enverra une commande à chaque appareil cible pour l’empêcher d’exécuter le processus VPN KV Botnet », a écrit un agent spécial de l’agence dans un affidavit daté du 9 janvier. fonctionnant comme un nœud VPN, empêchant ainsi les pirates informatiques d’accéder davantage aux appareils cibles via un tunnel VPN établi. Cette commande n’affectera pas le périphérique cible si le processus VPN n’est pas en cours d’exécution, et n’affectera pas autrement le périphérique cible, y compris tout processus VPN légitime installé par le propriétaire du périphérique cible.
Le communiqué publié mercredi par le ministère de la Justice indique que les autorités ont donné suite au retrait, qui a désinfecté des « centaines » de routeurs infectés et les a retirés du botnet. Pour empêcher que les appareils ne soient réinfectés, les opérateurs de retrait ont émis des commandes supplémentaires qui, selon l’affidavit, « interféreraient avec le contrôle des pirates sur les instruments de leurs crimes (les appareils cibles), notamment en empêchant les pirates de réinfecter facilement la cible ». Dispositifs. »
L’affidavit indiquait ailleurs que les mesures de prévention seraient neutralisées si les routeurs étaient redémarrés. Ces appareils seraient alors à nouveau vulnérables aux infections.
Les expurgations dans l’affidavit rendent flous les moyens précis utilisés pour prévenir les réinfections. Les parties qui n’ont pas été censurées indiquaient cependant que la technique impliquait un mécanisme de bouclage qui empêchait les appareils de communiquer avec quiconque tentait de les pirater.
Certaines parties de l’affidavit sont expliquées :
22. Pour effectuer ces saisies, le FBI émettra simultanément des commandes qui interféreront avec le contrôle des pirates sur les instruments de leurs crimes (les appareils cibles), notamment en empêchant les pirates de réinfecter facilement les appareils cibles avec le logiciel malveillant KV Botnet. .
- un. Lorsque le FBI supprime le malware KV Botnet des appareils cibles [redacted. To seize the Target Devices and interfere with the hackers’ control over them, the FBI [redacted]. Ce [redacted] n’aura aucun effet sauf pour protéger l’appareil cible d’une réinfection par le KV Botnet [redacted] L’effet de peut être annulé en redémarrant le périphérique cible [redacted] rendre l’appareil cible vulnérable à une réinfection.
- b. [redacted] le FBI saisira chacun de ces appareils cibles en faisant en sorte que le logiciel malveillant qui s’y trouve ne communique qu’avec lui-même. Cette méthode de saisie interférera avec la capacité des pirates informatiques à contrôler ces appareils cibles. Ce bouclage de communications, comme le malware lui-même, ne survivra pas au redémarrage d’un appareil cible.
- c. Pour saisir les appareils cibles, le FBI [redacted] bloquer le trafic entrant [redacted] utilisé exclusivement par le malware KV Botnet sur les appareils cibles, pour bloquer le trafic sortant vers [redacted] les nœuds parents et de commande et de contrôle des appareils cibles, et pour permettre à un appareil cible de communiquer avec lui-même [redacted] ne sont normalement pas utilisés par le routeur et les fonctionnalités légitimes du routeur ne sont donc pas affectées. L’effet de [redacted] pour empêcher d’autres parties du botnet de contacter le routeur de la victime, d’annuler les commandes du FBI et de le reconnecter au botnet. L’effet de ces commandes est annulé en redémarrant les périphériques cibles.
23. Pour effectuer ces saisies, le FBI enverra une commande à chaque appareil cible pour l’empêcher d’exécuter le processus VPN KV Botnet. Cette commande empêchera également le périphérique cible de fonctionner en tant que nœud VPN, empêchant ainsi les pirates informatiques d’accéder davantage aux périphériques cibles via un tunnel VPN établi. Cette commande n’affectera pas le périphérique cible si le processus VPN n’est pas en cours d’exécution, et n’affectera pas autrement le périphérique cible, y compris tout processus VPN légitime installé par le propriétaire du périphérique cible.