Le ministère américain de la Justice a déclaré mercredi qu'il avait saisi un domaine Internet qui dirigeait un dangereux botnet d'un demi-million de routeurs de réseau domestique et professionnel infectés, contrôlés par des pirates soupçonnés d'être liés aux services de renseignement russes.

Cette décision visait à briser une opération profondément ancrée dans les réseaux informatiques de petite et moyenne taille qui pourrait permettre aux pirates de prendre le contrôle des ordinateurs ainsi que de voler facilement des données.

Le ministère de la Justice a déclaré que le botnet « VPNFilter » a été mis en place par un groupe de piratage appelé APT28, Tempête de pions, Ver des sables, Fancy Bear et le groupe Sofacy.

Le groupe est accusé de cyberattaques contre de nombreux gouvernements, les industries d'infrastructure clés comme les réseaux électriques, l'Organisation pour la sécurité et la coopération en Europe, l'Agence mondiale antidopage, et d'autres corps.

Les agences de renseignement américaines ont également déclaré avoir participé à l'opération de piratage et de diffusion d'informations préjudiciables sur le Parti démocrate lors de l'élection présidentielle américaine de 2016, et a conçu un certain nombre de perturbations du réseau informatique en Ukraine.

« Selon les chercheurs en cybersécurité, le Sofacy Group est un groupe de cyber-espionnage qui serait originaire de Russie, ", a déclaré le ministère de la Justice dans un dossier judiciaire.

"Probablement en activité depuis 2007, le groupe est connu pour cibler généralement le gouvernement, militaire, organismes de sécurité, et d'autres cibles à valeur de renseignement, par divers moyens, " Ça disait.

Le dossier de la justice n'a pas dit qui était derrière Sofacy Group, mais le renseignement américain l'a dans le passé lié à l'agence de renseignement militaire russe GRU, et de nombreux groupes privés de sécurité informatique ont établi la même connexion.

Dans l'action de mercredi, le ministère de la Justice a déclaré avoir obtenu un mandat autorisant le FBI à saisir un domaine informatique faisant partie du système de commandement et de contrôle du botnet VPNFilter.

Le botnet cible les routeurs domestiques et professionnels, à travers lequel il peut relayer les commandes des contrôleurs du botnet et intercepter et rediriger le trafic vers eux, pratiquement indétectable par les utilisateurs d'un réseau.

Dans un rapport publié parallèlement à l'annonce de Justice, le géant de l'équipement de réseau Cisco a déclaré que VPNFilter avait infecté au moins 500, 000 appareils dans au moins 54 pays.

Il a ciblé des marques de routeurs populaires comme Linksys, MikroTik, NETGEAR et TP-Link.

« Le comportement de ce malware sur les équipements réseaux est particulièrement préoccupant, car les composants du malware VPNFilter permettent le vol des informations d'identification du site Web, " a déclaré Cisco.

Il a également « une capacité destructrice qui peut rendre un appareil infecté inutilisable, qui peut être déclenchée sur des machines victimes individuelles ou en masse."

Justice et Cisco ont tous deux déclaré qu'ils publiaient les détails du problème avant d'avoir trouvé un solide, correction permanente. Justice a déclaré qu'en prenant le contrôle de l'un des domaines impliqués dans l'exécution de VNPFilter, cela donnera aux propriétaires de routeurs infectés une chance de les redémarrer, les forçant à commencer à communiquer avec le domaine de commande désormais neutralisé.

La vulnérabilité restera, La justice a dit, mais le déménagement leur laissera plus de temps pour s'identifier et intervenir dans d'autres parties du réseau.

© 2018 AFP