Avis de filtre VPN

Au 24 mai 2018, on estimait que VPNFiler infectait environ 500 000 à 1 000 000 de routeurs dans le monde. Il peut voler des données, contient un "kill switch" conçu pour détruire le routeur infecté sur commande et peut persister en cas de redémarrage du routeur par l'utilisateur.
 
Le malware VPNFilter s’installe en plusieurs étapes :
  • Étape 1 : un ver s'ajoute à la crontab, la liste des tâches exécutées à intervalles réguliers par le planificateur cron sous Linux. Cela lui permet de rester sur l'appareil, de le réinfecter avec les étapes suivantes si elles sont supprimées.
  • Étape 2 : il devient le corps même du malware, y compris le code de base qui exécute toutes les fonctions normales et exécute les instructions requises par les modules spéciaux optionnels de l'étape 3.
  • Étape 3 : un ou plusieurs "modules" indiquent au malware de faire des choses spécifiques, telles que l'espionnage sur des dispositifs de contrôle industriels (Modbus SCADA) ou utiliser un logiciel Tor "dark web" sécurisé pour communiquer via le cryptage.
 
Le routeur industriel WoMaster et ses produits de commutation, comme les séries WR, SCB, DS / DP / MP et RS / RP n’utilisent pas le programmateur cron mais plutôt la technologie de programmateur brevetée par WoMaster. Par conséquent, les programmes malveillants VPNFilter n’ont aucune possibilité d’ajouter un ver à la crontab lors de l’étape 1. C’est la raison pour laquelle les routeurs industriels et les commutateurs WoMaster sont tous à l’abri de VPNFiler.