Symantec rilascia un tool per individuare VPNFilter

Lug 03, 2018 Marco Schiaffino In evidenza, Malware, News, RSS, Tecnologia 1

La società di sicurezza mette a disposizione uno strumento che consente di rilevare le comunicazioni dai router infetti. Sono ancora migliaia…

La vicenda VPNFilter è sparita dalle pagine dei siti di news, ma è ben lontana dall’essersi conclusa. L’ennesimo capitolo vede ora come protagonista Symantec, che ha sviluppato un tool in grado di aiutare a individuare i dispositivi compromessi dal trojan.

Il malware, individuato dai ricercatori del team Talos alla fine dello scorso mese di maggio, ha suscitato un enorme allarme nella community dei ricercatori di sicurezza e non solo.

VPNFilter, infatti, è un trojan con caratteristiche assolutamente uniche e un livello di complessità tale da renderlo estremamente difficile da individuare o anche solo da analizzare a fondo.

Il malware sfrutta una serie di vulnerabilità per colpire in remoto numerosi modelli di router utilizzati sia a livello domestico, sia a livello aziendale, garantendo ai pirati informatici un livello di controllo estremamente elevato.

Il primo avviso è arrivato quando i ricercatori di Talos hanno notato un aumento dell’attività del gruppo che stava diffondendo VPNFilter (prevalentemente su territorio Ucraino) ma, in seguito, il livello di allarme è cresciuto costantemente.

Dopo il primo intervento in collaborazione con l’FBI, che ha sequestrato i server Command and Control usati dai pirati per controllare a distanza i 500.000 router che si stima siano stati colpiti dal malware, gli analisti delle società di sicurezza hanno infatti scoperto che VPNFilter non limita la sua azione ai router, ma è anche in grado di colpire i PC e i dispositivi mobili collegati alla stessa rete

In una intervista rilasciata a Security Info, un ricercatore di Talos ha spiegato che, oltre al fatto di aver scoperto nuove funzionalità di VPNFilter che in un primo momento non erano apparse evidenti, la preoccupazione nel settore è dovuta al fatto che potrebbero esserci nuove campagne di distribuzione del malware che non sono ancora state individuate.

Il vero problema è che individuare un malware su dispositivi come i router (VPNFilter in realtà prende di mira anche alcuni modelli di NAS) è molto più difficile di quanto non lo sia quando a essere colpiti sono PC e dispositivi mobili. Tanto più che il trojan usa un sistema basato su più stadi di infezione, che complica ulteriormente l’intervento per eliminarlo.

Lo schema di funzionamento di VPNFilter come riassunto dai ricercatori di Talos. Se vi viene mal di testa non vi preoccupate: è normale.

Per il momento, l’unica tecnica per disinnescare l’esercito di dispositivi infetti che si è trovata era quella di chiedere a tutti i possessori di router potenzialmente vulnerabili di eseguire un riavvio dei loro device. Una richiesta che l’FBI ha cercato di promuovere dalle pagine del suo sito, ma che non sembra aver portato a grandi risultati.

L’annuncio di Symantec, quindi, è stata presa come un’ottima notizia. Il tool messo a disposizione dalla società di sicurezza si chiama VPNFilter Check e può essere usato da questo indirizzo Internet.

Il tool, in realtà, non è in grado di individuare il malware in sé (attività piuttosto difficile) ma consente di analizzare il traffico all’interno di una rete locale e capire se questo sia stato in qualche modo alterato.

La manipolazione del traffico di rete è infatti uno dei pochi sintomi di infezione che permettono di individuare la presenza VPNFilter.

Ora si spera che l’uso di VPNFilter Check possa aiutare ad arginare l’eventuale diffusione del malware e, contemporaneamente, a smantellare quella rete di router ancora infetti che per il momento sono stati resi inoffensivi dal sequestro dei server Command and Control.