VPNFilter e il contrattacco da parte dell’FBI

VPNFilter e il contrattacco da parte dell’FBI

Dopo poche ore dalla comunicazione ufficiale di Cisco riguardante il nuovo malware denominato VPNFilter che ha hackerato più di 500’000 router, il Governo americano a dichiarato di aver oscurato il server centrale.

Come si è diffuso VPNFilter?

Per chi non lo sapesse di recente i ricercatori di Cisco hanno pubblicato un report riguardante una nuova minaccia in grado non solo di hackerare il nostro router ma anche di autodistruggerlo a distanza.

VPNFilter e il contrattacco da parte dell'FBIIl comunicato di Cisco viene distribuito a poco più di un mese dall’allarme lanciato dal dipartimento della sicurezza nazionale USA, dall’FBI e dal National Cyber Security Center del Regno Unito quando congiuntamente hanno identificato un gruppo di hacker presumibilmente al soldo del governo Russo.

 

Dalle informazioni raccolte VPNFilter ha iniziato ad infettare i router non solo consumer (router di casa) ma anche aziendali e governativi sin dal 2016, riuscendo a colpire più di 500’000 router in almeno 54 paesi.

La maggior parte dei dispositivi presi di mira è nota per utilizzare le credenziali predefinite e/o ha exploit noti, in particolare per le versioni precedenti.VPNFilter e il contrattacco da parte dell'FBI

Inoltre all’interno di VPNFilter è stato identificato parte di un codice riconducibile al malware denominato BlackEnergy, quest’ultimo usato in vari attacchi legati al governo Russo, tra cui il famoso attacco alle reti elettriche ucraine.

Tuttavia, bisogna dire che il comunicato di Cisco non menziona in maniere esplicita il nome del governo Russo.

Inoltre l’utilizzo di parte del codice di BlackEnergy non è una prova utile, infatti parti di questo codice sono stati utilizzati anche da latri attacchi informatici.

Che cosa faceva VPNFilter a un dispositivo infetto?

Il suo funzionamento è piuttosto semplice nella fase iniziale viene installata la prima parte del malware che ha come scopo quello di contattare il server di comando e controllo (command-and-control server C&C) per scaricare ulteriori moduli.

Schema del malware VPNFilter

La seconda fase consiste nel scaricare i moduli utili per raccogliere informazioni, eseguire comandi da remoto, ecc.

Tra cui un comando dedicato ha bickare il dispositivo rendendolo inutilizzabile.

Per farlo avviavano un specifico commando che sovrascriveva parte del firmware del dispositivo e lo riavviavano.

Per finire c’è una terza fase che include una serie di plug-in per la seconda fase.

Tra cui uno sniffer per spiare il traffico instradato e il monitoraggio dei protocolli SCADA Modbus utili per il furto di credenziali.

Quali sono i dispositivi noti per essere influenzati da VPNFilter?

Ad oggi VPNFilter è noto per essere in grado di infettare router aziendali e di piccoli uffici / home office da Linksys, Mikro Tik, Netgear e TP-Link, oltre a dispositivi NAS (Network Attached Storage) QNAP.

VPNFilter e il contrattacco da parte dell'FBI

Nello specifico Symantec ha pubblicato l’elenco dei router che sono stati presi di mira da VPNFIlter:

  1. Linksys E1200, E2500 e WRVS4400N;
  2. MikroTik RouterOS for Cloud Core Routers (versioni 1016, 1036 e 1072);
  3. Netgear DGN2200, R6400, R7000, R8000, WNR1000 e WNR2000;
  4. QNAP TS 251, TS439 Pro e altri NAS QNAP con software QTS;
  5. TP-Link R600VPN

Netgerad ha dichiarato che il problema nei suoi router si presentava solo con le versioni più vecchie del firmware ed esclusivamente allorquando la gestione remota del router risultasse abilitata.

Come ha reagito l’FBI a VPNFilter?

Per bloccare questa minaccia l’FBI ha oscurato il dominio chiave correlato a VPNFilter denominato ToKnowAll.com. Questo dominio comunicava in anonimo con una grande botnet composta dai router e NAS infettati.

VPNFilter e il contrattacco da parte dell'FBI

 

Tagliando la comunicazione con il sito, l’FBI è riuscita a mettere al sicuro buona parte dei dispositivi compromessi.

Inoltre ha reindirizzato le comunicazioni malevoli verso un proprio server controllato, che ha il compito di registrare gli indirizzi IP dei dispositivi infetti e di passarli in automatico alle autorità competenti affinché possano rimuovere il malware.

Come posso rimuovere questo malware?

Visto che l’FBI ha bloccato la prima fase del malware ci basterà soltanto riavviare il router o NAS che è stato compromesso; in modo da liberarli almeno dalla 2 e 3 fase.

Se ancora non vi sentite al sicuro vi consigliamo di fare un hard reset dello stesso.

La procedura differisce da produttore a produttore; ma di solito si concretizza inserendo una graffetta in corrispondenza del piccolo pulsante di reset mentre il dispositivo è acceso.

Ma chi sono i colpevoli?

Al momento non si conoscono con precisione i colpevoli e i mandanti di questo sofisticato cyber attacco.

L’ultimo comunicato ufficiale del Dipartimento di Giustizia degli USA punta il dito contro Sofacy, un gruppo di hacker conosciuto anche con il nome Fancy Bear.

Per ulteriori chiarimenti o dubbi al riguardo lasciate pure un commento.

COMMENTS

DISQUS: 0