L’Ukraine accuse la Russie d’avoir conduit une cyberattaque ciblée sur une station de chloration de l’eau potable en s’appuyant sur le malware VPNFilter. Trend Micro souligne l’étendue du parc d’appareils susceptibles d’être affectés.
Talos avait publié une enquête sur une infection détectée par ses équipes : celle-ci concerne plus de 500 000 routeurs, infectés par un même malware baptisé VPNFilter. Talos y voir l’influence du groupe APT28, un groupe de cybercriminel proche du renseignement russe.
Les caractéristiques du malware ? VPNFilter embarque des « composants permettant de voler les identifiants de sites Web et de surveiller le protocole Modbus », utilisé pour certains systèmes de contrôle industriel (ICS/Scada). Les chercheurs y voient des similarité avec le code malveillant exploité par le groupe BlackEnergy.
Or, récemment, l’Ukraine semble en avoir fait les frais. En effet, dans un communiqué de presse, les services secrets ukrainiens indiquent ainsi avoir bloqué une tentative d’attaque visant une station de chloration dont le but aurait été d’en « paralyser durablement le fonctionnement ». Ce qui aurait affecté l’approvisionnement en eau de tout le pays. Les services de sécurité d’Ukraine affirment que l’attaque a été conduite en s’appuyant sur le logiciel malveillant VPNFilter. Et d’accuser ouvertement les services du renseignement russes.
VPNFilter est soupçonné de viser tout particulièrement l’Ukraine, sur un éventail de plus en plus large d’équipements signés Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti, Uplevel et ZTE. Trend Micro recense ainsi plus d’une dizaine de marques et 70 modèles d’appareils. L’éditeur souligne au passage le rôle des mauvaises pratiques dans la propagation de VPNFilter – parmi d’autres menaces : « nombre de ces appareils utilisent encore de vieilles versions de firmware », pour un total de rien moins que 19 vulnérabilités.