Aggiornamenti recenti Aprile 18th, 2025 2:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina”
L’allarme è scattato mercoledì e ieri il bureau ha preso il controllo dei server. Forse i pirati volevano colpire il giorno della finale di Champions League.
Azione a tempo di record da parte dell’FBI, che a sole 24 ore dalla pubblicazione di un report sulla scoperta della botnet VPNFilter ha portato a termine un’azione che ha permesso di “disinnescare” la minaccia prendendo il controllo dei server Command and Control gestiti dai pirati informatici.
Ma andiamo con ordine. Il primo allarme è arrivato mercoledì scorso quando un gruppo di ricercatori di Talos (il team indipendente di Cisco per la sicurezza informatica) hanno pubblicato un report in cui spiegavano di aver individuato VPNFilter, un malware che aveva colpito più di 500.000 dispositivi.
Si tratta nello specifico di NAS QNAP e di numerosi modelli di router prodotti da Linksys, MikroTik, NETGEAR e TP-Link, che sarebbero stati compromessi sfruttando una serie di vulnerabilità ben conosciute e già corrette dai produttori. Tutti prodotti destinati al mercato casalingo o dei piccoli uffici, che difficilmente ricevono aggiornamenti con la stessa tempestività dei componenti installati nelle aziende.
Come spiegano i ricercatori, i primi indizi della presenza del malware risalgono a qualche mese fa, anche se ci sono indizi che la sua diffusione sia iniziata addirittura nel 2016. Da quel momento gli analisti, in collaborazione con le forze di polizia, ne stavano tenendo sotto controllo l’evoluzione.
VPN Filter, infatti, non è un malware per dispositivi IoT come gli altri. È in grado sia di rubare informazioni sensibile dai sistemi che colpisce, sia di mettere in atto azioni distruttive e sabotaggi.
Non solo: le caratteristiche del malware, come descritte da Talos, sono decisamente fuori dal comune. Si tratterebbe infatti del malware per dispositivi IoT più complesso che sia mai stato individuato.
La prima anomalia riguarda già la fase di infezione, ch ei ricercatori indicano come primo stadio dell’attacco. Mentre i normali worm (come Mirai) utilizzano tecniche che gli permettono di prendere il controllo del dispositivo ma non sono in grado di “sopravvivere” al riavvio del dispositivo stesso, VPNFilter forza il riavvio del device infetto proprio per garantirsi la persistenza.
La seconda fase prevede il collegamento a un server C&C dal quale viene scaricato un ulteriore modulo del malware (che però viene cancellato in caso di riavvio del dispositivo) e che contiene una serie di strumenti che permettono a VPNFilter di rubare informazioni dalla rete colpita.
Lo schema di funzionamento di VPNFilter come riassunto dai ricercatori di Talos. Se vi viene mal di testa non vi preoccupate: è normale.
Particolarissima anche la tecnica utilizzata per collegarsi al server esterno. Il malware, in pratica, nasconde l’indirizzo IP del server all’interno dei metadati EXIF contenuti in alcune immagini conservate su un bucket esterno.
VPNFilter contiene anche una sorta di sistema di autodistruzione, che avvia la riscrittura del firmware per rendere inutilizzabile il dispositivo colpito.
Una terza fase consente, infine, di scaricare e installare ulteriori moduli che aggiungono funzionalità al malware. I ricercatori di Talos ne hanno individuati due. Il primo consente la trasmissione di dati sul circuito Tor, mentre il secondo è uno sniffer in grado di intercettare tutto il traffico che passa sul dispositivo e in particolare quello relativo al protocollo usato da Modbus SCADA, un software utilizzato per il controllo e monitoraggio di sistemi industriali.
Insomma: secondo gli autori del report, VPNFilter rappresenterebbe lo strumento perfetto per creare un’infrastruttura in grado di agire con estrema versatilità e rimanere sottotraccia offuscando la sua attività.
La situazione ha subito un’accelerazione nelle ultime settimane, quando VPNFilter ha intensificato la sua attività. A partire dalla prima settimana di maggio, infatti, i ricercatori hanno registrato un’intensa attività di scanning e un incremento degli attacchi nei confronti dei dispositivi vulnerabili.
A creare apprensione era soprattutto il fatto che la quasi totalità delle infezioni erano concentrate in Ucraina. Abbastanza per pensare che qualcuno (dalle parti dell’FBI scommettono sui soliti servizi segreti russi e in particolare sul gruppo Fancy Bear) stesse preparando un attacco coordinato per mettere K.O. la rete su tutto il territorio ucraino.
Il sospetto dei ricercatori è che i cyber-criminali avessero intenzione di agire presto e le date ipotizzate dagli analisti erano due: la festa nazionale Ucraina che cade il 27 giugno (il giorno in cui l’anno scorso è partito l’attacco di NotPetya) o l’imminente finale di Champions League tra Real Madrid e Liverpool che si giocherà a Kiev il prossimo sabato 27 maggio.
Ipotesi che dalle parti dell’FBI sembrano aver preso sul serio e che hanno indotto i federali ad agire senza aspettare oltre. Nella giornata di ieri il bureau ha proceduto a sequestrare i server C&C collegati a VPNFilter.
AGGIORNAMENTO: Tp-Link ci ha inviato una dichiarazione ufficiale a proposito del coinvolgimento dei suoi router nella vicenda VPNFilter e la riportiamo di seguito:
TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html
Condividi l'articolo
Inghilterra: “Gli attacchi informatici sono un atto di guerra”
Nuove tecniche di attacco basate su Spectre. Arriva la variante 4
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento...
Ransomware: la serie
No posts found.
2 thoughts on “L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina””