VPNFilter, FBI consiglia a tutti di riavviare i router per eliminare parte del malware

La FBI sta consigliando agli utenti di riavviare i propri router e i NAS in modo da contrastare l'efficacia del malware russo che ha già infettato centinaia di migliaia di dispositivi. A rivelare la diffusione del malware noto come VPNFilter è stato il team di sicurezza Talos di Cisco lo scorso mercoledì, all'interno di un documento rilasciato al pubblico in cui si leggeva che 500 mila unità di dispositivi realizzati da Linksys, Mikrotik, Netgear, QNAP e TP-Link fossero vulnerabili al nuovo exploit. VPNFilter permette di raccogliere dati, lanciare attacchi e anche distruggere in maniera permanente i dispositivi violati con un singolo comando. Ne abbiamo parlato diffusamente qui.

Secondo il report iniziale il malware è stato sviluppato da hacker in collaborazione con un ente governativo di una nazione avanzata, forse proprio la Russia, con il documento che consigliava agli utenti di eseguire un ripristino ai dati di fabbrica o, almeno, di riavviare i router.

In seguito sono trapelati ulteriori dettagli sul software malevolo, con il Daily Beast che ha scritto che di fatto il malware è stato sviluppato da un gruppo di hacker russo noto come Sofacy, Fancy Bear, APT 28 o Pawn Storm. Nell'articolo si leggeva che la FBI aveva sequestrato un dominio internet che VPNFilter utilizzava come backup per consegnare ulteriori stadi del malware ai dispositivi già infetti con il primo exploit divulgato. Così facendo sono stati resi inefficaci gli stadi 2 e 3 del malware, che non sopravvivono al riavvio, diversamente dallo stadio 1 che rimane in maniera persistente. 

Ma, una volta che il dispositivo viene riavviato, lo stadio 1 cerca di contattare un indirizzo remoto non più disponibile e l'attacco non produce effetti. Il consiglio della FBI è comunque unanime e non è solo rivolto agli utenti dei router vulnerabili: "La FBI raccomanda a tutti i possessori di router consumer per le case o i piccoli uffici di riavviare i propri dispositivi per eliminare temporaneamente il malware e aiutare nella potenziale identificazione dei dispositivi infetti. Ai possessori consigliamo di disattivare le impostazioni di gestione remota sui dispositivi e utilizzare password sicure e poco vulnerabili, attivando le modalità di cifratura", ha fatto sapere l'autorità USA.

Inoltre, la FBI consiglia anche di aggiornare i firmware alle ultime versioni disponibili. La paura è che il malware possa diffondersi anche su altri router e non solo su quelli segnalati dai primi report, anche perché ad oggi non è noto il modo in cui i dispositivi compromessi hanno ricevuto il malware in origine. Si sospetta lo sfruttamento di vulnerabilità note e che siano stati colpiti gli accessori con password di default non modificate dagli utenti. I modelli attualmente coinvolti sono 14 (Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS, versioni 1016, 1036, e 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, NAS QNAP con il software QTS, TP-Link R600VPN), ma c'è il dubbio che il malware possa diffondersi anche su altri accessori di rete.

I consigli della FBI sono i più semplici da operare in questi casi: il riavvio del router, l'aggiornamento del firmware, la modifica della password default e la disabilitazione della gestione da remoto sono operazioni che possono essere portate a compimento in 15 minuti e (quasi) alla portata di tutti. Non risolvono tuttavia il problema alla sua base, come avevamo segnalato nel nostro precedente approfondimento: Cisco infatti aveva sottolineato come il riavvio non rimuovesse permanentemente il malware, mantenendone attivo lo stadio 1. Per eliminare anche questo è necessario eseguire un ripristino alle condizioni di fabbrica, che rimuove permanentemente il malware e, naturalmente, anche tutte le impostazioni salvate dagli utenti.