Aggiornamenti recenti Dicembre 4th, 2024 9:00 AM
Giu 08, 2018 Marco Schiaffino Approfondimenti, Attacchi, Campagne malware, In evidenza, Vulnerabilità 0
Quando l’FBI ha annunciato il sequestro dei server Command and Control sembrava che la vicenda VPNFilter fosse già conclusa. Le cose, però, non sono andate così e il timore è che il malware possa creare ancora grossi problemi.
I ricercatori di Talos (un team di cyber-security collegato a Cisco ma che agisce in maniera indipendente – ndr) sono stati i primi a individuare e studiare VPNFilter, avviando una collaborazione con le forze di polizia per arginarne la diffusione.
Un’attività che si pensava avesse avuto termine con il sequestro dei server e la successiva opera di mappatura dei dispositivi compromessi (il conto per il momento è a 500.000 dispositivi infetti) operata dal Bureau. Quando però è stata rilevata un’ulteriore attività sospetta, si era pensato che si trattasse di una nuova campagna di attacchi. Non era così.
“Non sono comparsi altri server C&C e le nuove attività erano in realtà collegate alla stessa campagna di attacchi” spiega Martin Lee del team Talos. “La verità è che stiamo ancora studiando le caratteristiche del malware. Si tratta di qualcosa di estremamente complesso e molti aspetti del suo funzionamento sono ancora da chiarire a pieno”.
La dimostrazione è arrivata ieri, quando i ricercatori hanno pubblicato un ulteriore report in cui spiegano che VPNFilter ha funzionalità aggiuntive rispetto a quelle individuate in un primo momento e che la platea di dispositivi presi di mira sarebbe più ampia.
Di certezze, però, ce ne sono ancora poche. A partire, per esempio, dalle tecniche utilizzate per colpire i router che ora si scopre essere oggetto dell’attacco in aggiunta a quelli individuati in un primo momento.
“L’elenco dei modelli vulnerabili è stato stilato sulla base delle infezioni rilevate” spiega Martin Lee, “ma non abbiamo ancora identificato quali siano le vulnerabilità utilizzate per portare l’attacco. È probabile che si tratti di exploit conosciuti, che potrebbero essere bloccati attraverso un semplice aggiornamento. Non possiamo però escludere alcuna ipotesi”.
L’altro aspetto allarmante riguarda la presenza di un ulteriore modulo del malware che sarebbe in grado di portare attacchi ai dispositivi collegati nella rete gestita dai router compromessi.
“Per la precisione, ciò che abbiamo appurato è che VPNFilter è in grado non solo di intercettare il traffico in ingresso e uscita dai router infetti, ma anche di modificarlo. Potenzialmente, quindi, potrebbe utilizzare tecniche come l’iniezione di JavaScript o dirottare gli utenti collegati al router su pagine Web pericolose”.
Potenzialmente, quindi, VPNFilter consentirebbe ai suoi autori di colpire qualsiasi dispositivo (sia computer, sia smartphone e tablet) collegato alla rete locale. Se l’attribuzione al gruppo APT28 (conosciuto anche come Fancy Bear) dovesse trovare conferma, questo significherebbe che l’operazione potrebbe essere un primo passo per gettare le basi di un sistema di sorveglianza di massa.
Tanto più che il nuovo modulo individuato integra anche un sistema per cancellare le tracce di infezione sul router. Una caratteristica che potrebbe far pensare a un’operazione che punta a usare i router come vettore di attacco per compromettere PC e smartphone, eliminando poi ogni indizio che possa generare sospetti.
Altro elemento che condurrebbe all’ipotesi del “malware di stato” è la presenza di funzioni specificatamente pensate per intercettare le comunicazioni che usano il protocollo Modbus, utilizzato per gestire componenti industriali.
Riguardo queste valutazioni, però, Martin Lee non si sbilancia più di tanto. “È vero che la maggior parte dei dispositivi compromessi che abbiamo individuato si trovano in Ucraina, ma non possiamo leggere il pensiero dei pirati informatici e capire esattamente quale fosse il loro obiettivo o la strategia a lungo termine”.
Anche se l’attribuzione al noto gruppo di cyber-spionaggio si dimostrasse frettolosa (ultimamente sembra che sia indicato come responsabile di qualsiasi azione criminale su Internet) il problema rimane. Principalmente perché questa strategia di attacco si è dimostrata terribilmente efficace.
“Questa è solo una singola campagna di distribuzione, che per fortuna siamo riusciti a bloccare” specifica Martin Lee. “È probabile che in futuro ce ne siano altre con caratteristiche simili”.
Il problema è sempre il solito: router e dispositivi IoT rappresentano un vero buco nero in termini di sicurezza. Gli utenti non li proteggono attraverso gli aggiornamenti e anche gli Internet Provider stanno dimostrando di non essere particolarmente abili (e stiamo usando un eufemismo) nell’utilizzare gli strumenti di aggiornamento in remoto.
Contare solo sulle capacità di intervento delle società di sicurezza, però, è troppo rischioso. “Avendo a disposizione i dati provenienti da Cisco, all’interno di Talos abbiamo la possibilità di monitorare con estrema efficacia l’intera Internet, ma la vera sfida è quella di capire come bloccare attacchi di questo genere prima che arrivino a colpire migliaia di persone” conclude Lee.
Nov 20, 2024 0
Nov 14, 2024 0
Lug 12, 2024 0
Lug 03, 2024 0
Dic 04, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Nov 28, 2024 0
Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...