Aggiornamenti recenti Marzo 21st, 2023 9:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Rilasciata Kali Purple, la distro Kali Linux per la defensive security
- I rischi di sicurezza del lavoro remoto preoccupano le aziende
- Gli attacchi BEC sono sempre più veloci
- Le minacce più diffuse in EMEA secondo Akamai
- NIS2: le imprese europee devono adattarsi a nuovi requisiti di sicurezza
L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina”
L’allarme è scattato mercoledì e ieri il bureau ha preso il controllo dei server. Forse i pirati volevano colpire il giorno della finale di Champions League.
Azione a tempo di record da parte dell’FBI, che a sole 24 ore dalla pubblicazione di un report sulla scoperta della botnet VPNFilter ha portato a termine un’azione che ha permesso di “disinnescare” la minaccia prendendo il controllo dei server Command and Control gestiti dai pirati informatici.
Ma andiamo con ordine. Il primo allarme è arrivato mercoledì scorso quando un gruppo di ricercatori di Talos (il team indipendente di Cisco per la sicurezza informatica) hanno pubblicato un report in cui spiegavano di aver individuato VPNFilter, un malware che aveva colpito più di 500.000 dispositivi.
Si tratta nello specifico di NAS QNAP e di numerosi modelli di router prodotti da Linksys, MikroTik, NETGEAR e TP-Link, che sarebbero stati compromessi sfruttando una serie di vulnerabilità ben conosciute e già corrette dai produttori. Tutti prodotti destinati al mercato casalingo o dei piccoli uffici, che difficilmente ricevono aggiornamenti con la stessa tempestività dei componenti installati nelle aziende.
Come spiegano i ricercatori, i primi indizi della presenza del malware risalgono a qualche mese fa, anche se ci sono indizi che la sua diffusione sia iniziata addirittura nel 2016. Da quel momento gli analisti, in collaborazione con le forze di polizia, ne stavano tenendo sotto controllo l’evoluzione.
VPN Filter, infatti, non è un malware per dispositivi IoT come gli altri. È in grado sia di rubare informazioni sensibile dai sistemi che colpisce, sia di mettere in atto azioni distruttive e sabotaggi.
Non solo: le caratteristiche del malware, come descritte da Talos, sono decisamente fuori dal comune. Si tratterebbe infatti del malware per dispositivi IoT più complesso che sia mai stato individuato.
La prima anomalia riguarda già la fase di infezione, ch ei ricercatori indicano come primo stadio dell’attacco. Mentre i normali worm (come Mirai) utilizzano tecniche che gli permettono di prendere il controllo del dispositivo ma non sono in grado di “sopravvivere” al riavvio del dispositivo stesso, VPNFilter forza il riavvio del device infetto proprio per garantirsi la persistenza.
La seconda fase prevede il collegamento a un server C&C dal quale viene scaricato un ulteriore modulo del malware (che però viene cancellato in caso di riavvio del dispositivo) e che contiene una serie di strumenti che permettono a VPNFilter di rubare informazioni dalla rete colpita.
Lo schema di funzionamento di VPNFilter come riassunto dai ricercatori di Talos. Se vi viene mal di testa non vi preoccupate: è normale.
Particolarissima anche la tecnica utilizzata per collegarsi al server esterno. Il malware, in pratica, nasconde l’indirizzo IP del server all’interno dei metadati EXIF contenuti in alcune immagini conservate su un bucket esterno.
VPNFilter contiene anche una sorta di sistema di autodistruzione, che avvia la riscrittura del firmware per rendere inutilizzabile il dispositivo colpito.
Una terza fase consente, infine, di scaricare e installare ulteriori moduli che aggiungono funzionalità al malware. I ricercatori di Talos ne hanno individuati due. Il primo consente la trasmissione di dati sul circuito Tor, mentre il secondo è uno sniffer in grado di intercettare tutto il traffico che passa sul dispositivo e in particolare quello relativo al protocollo usato da Modbus SCADA, un software utilizzato per il controllo e monitoraggio di sistemi industriali.
Insomma: secondo gli autori del report, VPNFilter rappresenterebbe lo strumento perfetto per creare un’infrastruttura in grado di agire con estrema versatilità e rimanere sottotraccia offuscando la sua attività.
La situazione ha subito un’accelerazione nelle ultime settimane, quando VPNFilter ha intensificato la sua attività. A partire dalla prima settimana di maggio, infatti, i ricercatori hanno registrato un’intensa attività di scanning e un incremento degli attacchi nei confronti dei dispositivi vulnerabili.
A creare apprensione era soprattutto il fatto che la quasi totalità delle infezioni erano concentrate in Ucraina. Abbastanza per pensare che qualcuno (dalle parti dell’FBI scommettono sui soliti servizi segreti russi e in particolare sul gruppo Fancy Bear) stesse preparando un attacco coordinato per mettere K.O. la rete su tutto il territorio ucraino.
Il sospetto dei ricercatori è che i cyber-criminali avessero intenzione di agire presto e le date ipotizzate dagli analisti erano due: la festa nazionale Ucraina che cade il 27 giugno (il giorno in cui l’anno scorso è partito l’attacco di NotPetya) o l’imminente finale di Champions League tra Real Madrid e Liverpool che si giocherà a Kiev il prossimo sabato 27 maggio.
Ipotesi che dalle parti dell’FBI sembrano aver preso sul serio e che hanno indotto i federali ad agire senza aspettare oltre. Nella giornata di ieri il bureau ha proceduto a sequestrare i server C&C collegati a VPNFilter.
AGGIORNAMENTO: Tp-Link ci ha inviato una dichiarazione ufficiale a proposito del coinvolgimento dei suoi router nella vicenda VPNFilter e la riportiamo di seguito:
TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html
Condividi l'articolo
Inghilterra: “Gli attacchi informatici sono un atto di guerra”
Nuove tecniche di attacco basate su Spectre. Arriva la variante 4
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I rischi di sicurezza del lavoro remoto preoccupano le... L’affermazione del lavoro ibrido e remoto ha... -
Gli attacchi BEC sono sempre più veloci Il team Security Intelligence di Microsoft ha recentemente... -
Le minacce più diffuse in EMEA secondo Akamai Akamai ha pubblicato un nuovo report della serie State of... -
NIS2: le imprese europee devono adattarsi a nuovi requisiti... Nuove regolamentazioni all’orizzonte: dopo il GDPR,... -
Ogni riscatto ransomware pagato finanzia altri 9 attacchi Trend Micro ha diffuso i risultati della nuova ricerca What...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Rilasciata Kali Purple, la distro Kali Linux per la... Pochi giorni fa è stata rilasciata Kali Purple, la... -
Dispositivi SonicWall colpiti da un malware che resiste... Mandiant, insieme al team Product Security e Incident... -
Lo scorso anno sono stati divulgati 10 milioni di segreti... GitGuardian ha pubblicato il nuovo report The State of... -
Il 90% delle aziende non risponde alle minacce IT entro... Palo Alto Networks ha pubblicato il report State of... -
Ransomware sempre più veloce: meno di quattro giorni per... IBM Security ha organizzato nella cornice del Made di...
Ransomware: la serie
No posts found.
2 thoughts on “L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina””