Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mag 25, 2018 Marco Schiaffino Apt, Attacchi, In evidenza, Malware, Minacce, News, RSS 2
Azione a tempo di record da parte dell’FBI, che a sole 24 ore dalla pubblicazione di un report sulla scoperta della botnet VPNFilter ha portato a termine un’azione che ha permesso di “disinnescare” la minaccia prendendo il controllo dei server Command and Control gestiti dai pirati informatici.
Ma andiamo con ordine. Il primo allarme è arrivato mercoledì scorso quando un gruppo di ricercatori di Talos (il team indipendente di Cisco per la sicurezza informatica) hanno pubblicato un report in cui spiegavano di aver individuato VPNFilter, un malware che aveva colpito più di 500.000 dispositivi.
Si tratta nello specifico di NAS QNAP e di numerosi modelli di router prodotti da Linksys, MikroTik, NETGEAR e TP-Link, che sarebbero stati compromessi sfruttando una serie di vulnerabilità ben conosciute e già corrette dai produttori. Tutti prodotti destinati al mercato casalingo o dei piccoli uffici, che difficilmente ricevono aggiornamenti con la stessa tempestività dei componenti installati nelle aziende.
Come spiegano i ricercatori, i primi indizi della presenza del malware risalgono a qualche mese fa, anche se ci sono indizi che la sua diffusione sia iniziata addirittura nel 2016. Da quel momento gli analisti, in collaborazione con le forze di polizia, ne stavano tenendo sotto controllo l’evoluzione.
VPN Filter, infatti, non è un malware per dispositivi IoT come gli altri. È in grado sia di rubare informazioni sensibile dai sistemi che colpisce, sia di mettere in atto azioni distruttive e sabotaggi.
Non solo: le caratteristiche del malware, come descritte da Talos, sono decisamente fuori dal comune. Si tratterebbe infatti del malware per dispositivi IoT più complesso che sia mai stato individuato.
La prima anomalia riguarda già la fase di infezione, ch ei ricercatori indicano come primo stadio dell’attacco. Mentre i normali worm (come Mirai) utilizzano tecniche che gli permettono di prendere il controllo del dispositivo ma non sono in grado di “sopravvivere” al riavvio del dispositivo stesso, VPNFilter forza il riavvio del device infetto proprio per garantirsi la persistenza.
La seconda fase prevede il collegamento a un server C&C dal quale viene scaricato un ulteriore modulo del malware (che però viene cancellato in caso di riavvio del dispositivo) e che contiene una serie di strumenti che permettono a VPNFilter di rubare informazioni dalla rete colpita.
Lo schema di funzionamento di VPNFilter come riassunto dai ricercatori di Talos. Se vi viene mal di testa non vi preoccupate: è normale.
Particolarissima anche la tecnica utilizzata per collegarsi al server esterno. Il malware, in pratica, nasconde l’indirizzo IP del server all’interno dei metadati EXIF contenuti in alcune immagini conservate su un bucket esterno.
VPNFilter contiene anche una sorta di sistema di autodistruzione, che avvia la riscrittura del firmware per rendere inutilizzabile il dispositivo colpito.
Una terza fase consente, infine, di scaricare e installare ulteriori moduli che aggiungono funzionalità al malware. I ricercatori di Talos ne hanno individuati due. Il primo consente la trasmissione di dati sul circuito Tor, mentre il secondo è uno sniffer in grado di intercettare tutto il traffico che passa sul dispositivo e in particolare quello relativo al protocollo usato da Modbus SCADA, un software utilizzato per il controllo e monitoraggio di sistemi industriali.
Insomma: secondo gli autori del report, VPNFilter rappresenterebbe lo strumento perfetto per creare un’infrastruttura in grado di agire con estrema versatilità e rimanere sottotraccia offuscando la sua attività.
La situazione ha subito un’accelerazione nelle ultime settimane, quando VPNFilter ha intensificato la sua attività. A partire dalla prima settimana di maggio, infatti, i ricercatori hanno registrato un’intensa attività di scanning e un incremento degli attacchi nei confronti dei dispositivi vulnerabili.
A creare apprensione era soprattutto il fatto che la quasi totalità delle infezioni erano concentrate in Ucraina. Abbastanza per pensare che qualcuno (dalle parti dell’FBI scommettono sui soliti servizi segreti russi e in particolare sul gruppo Fancy Bear) stesse preparando un attacco coordinato per mettere K.O. la rete su tutto il territorio ucraino.
Il sospetto dei ricercatori è che i cyber-criminali avessero intenzione di agire presto e le date ipotizzate dagli analisti erano due: la festa nazionale Ucraina che cade il 27 giugno (il giorno in cui l’anno scorso è partito l’attacco di NotPetya) o l’imminente finale di Champions League tra Real Madrid e Liverpool che si giocherà a Kiev il prossimo sabato 27 maggio.
Ipotesi che dalle parti dell’FBI sembrano aver preso sul serio e che hanno indotto i federali ad agire senza aspettare oltre. Nella giornata di ieri il bureau ha proceduto a sequestrare i server C&C collegati a VPNFilter.
AGGIORNAMENTO: Tp-Link ci ha inviato una dichiarazione ufficiale a proposito del coinvolgimento dei suoi router nella vicenda VPNFilter e la riportiamo di seguito:
TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html
Lug 12, 2024 0
Lug 10, 2024 0
Lug 03, 2024 0
Mag 30, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...
2 thoughts on “L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina””