VPNFilter: il malware per router che intercetta dati e distrugge il dispositivo. 500 mila casi

VPNFilter: il malware per router che intercetta dati e distrugge il dispositivo. 500 mila casi

Scoperto dai ricercatori di Cisco, il malware è altamente sofisticato e può consentire agli attaccanti di rendere inutilizzabile il dispositivo e di compiere altre azioni criminali

di pubblicata il , alle 17:21 nel canale Sicurezza
 

Un gruppo non identificato di hacker, ma presumibilmente supportati da una nazione avanzata, hanno compromesso oltre 500 mila router consumer e small-office con un malware altamente sofisticato che può essere usato per intercettare comunicazioni, lanciare attacchi su altri e distruggere in maniera permanente i dispositivi con un singolo comando. Del caso si sono occupati i ricercatori Cisco, pubblicando un report approfondito nel corso della giornata di ieri.

Il report di Cisco viene distribuito a poco più di un mese dall'allarme lanciato dal dipartimento della sicurezza nazionale USA, dall'FBI e dal National Cyber Secuirty Center del Regno Unito quando congiuntamente osservarono che hacker presumibilmente al soldo del governo Russo si trovavano coinvolti in attività di compromissione di un gran numero di dispositivi di rete di proprietà di governi, aziende e fornitori di infrastrutture critiche. Sono state rilevate infezioni in almeno 54 paesi che hanno iniziato a crescere lentamente sin dal 2016. I ricercatori Cisco le hanno monitorate per diversi mesi, riscontrando una crescita significativa delle compromissioni nel corso delle ultime tre settimane, che comprendono anche due attacchi rilevanti su dispositivi localizzati in Ucraina. Il picco, combinato con le avanzate capacità del malware di cui parleremo poco oltre, ha spinto Cisco a rilasciare il report prima che fosse completo.

Cisco osserva che VPNfilter - così è stato battezzato il nuovo malware - contiene una parte di codice identica già individuata nel malware conosciuto con il nome di BlackEnergy, quest'ultimo usato in vari attacchi legati al governo russo, tra cui il famoso attacco alle reti elettriche ucraine. Il nome della Russia, tuttavia, non viene chiaramente esplicitato nel report. Va però osservato che BlackEnergy è stato utilizzato anche da altri gruppi di attacco quindi la parziale sovrapposizione di codice non è una prova che dimostra che VPNFilter sia stato sviluppato su mandato del governo Russo. Il report di Cisco non ha fornito ulteriori attribuzioni agli attacchi, osservando solamente che fa uso di uno specifico indirizzo IP e due domini, per uno dei quali l'FBI ha già provveduto al sequestro dei server.

"Abbiamo dedotto con una certa sicurezza che questo malware è stato usato per creare un'infrastruttura estesa, di difficile attribuzione, che può essere usata per le varie necessità operative dell'attore di minaccia. Dato che i dispositivi colpiti sono legittimamente di proprietà di aziende o singoli individui, l'eventuale attività malevola condotta dai dispositivi infetti può essere erroneamente attribuita a chi in realtà è la vittima dell'attore di minaccia. Le funzionalità dei vari stadi operativi e dei plug-in del malware sono estremamente versatili e permetterebbero all'attore di trarre vantaggio dei dispositivi in diversi modi" spiega il ricercatore di Cisco William Largent.

VPNFilter - i tre stadi operativi

L'aspetto su cui comunque non vi sono dubbi è il fatto che VPNFilter è stato sviluppato da un gruppo con competenze avanzate. Il primo stadio operativo del malware comprende la compromissione di dispositivi provvisti di firmware basato su Busybox e Linux ed è compilato per varie architetture di CPU. Lo scopo principale è individuare un server controllato dagli attaccanti così da poter passare al secondo stadio operativo, con funzionalità più avanzate. Il server viene individuato scaricando un'immagine da photobucket.com ed estraendo un indirizzo IP da sei valori interi usati per le coordinate GPS e stoccato nel campo EXIF. Nel caso in cui non si riesca a scaricare il file da Photobucket, il malware tenta di scaricare l'immagine da toknowall*DOT*com. Nel caso in cui anche questo tentativo non vada a buon fine, viene aperto un "listener" che attende pacchetti-trigger specifici inviati dall'attaccante. Il listener controlla l'ip pubblico da api-ipify*DOT*org e li conserva per un uso successivo. Questa fase persiste anche dopo che il dispositivo infetto viene riavviato.

Il secondo stadio di operatività prevede attività di vera e propria intelligence, con la raccolta di file, l'esecuzione di comandi, il recupero di informazioni e la gestione del dispositivo. E' in questa fase che, in alcune versioni del malware, può essere sfruttata una funzionalità di "autodistruzione" che rende il router inservibile sovrascrivendo una porzione chiave del firmware e riavvia il dispositivo. I ricercatori sono tuttavia convinti del fatto che, anche in assenza di questa funzionalità, gli attaccanti sono in grado di rendere inutilizzabile il dispositivo manualmente, da remoto.

C'è poi un terzo stadio di operatività che comprende almeno due moduli plug-in: un packet-sniffer capace di intercettare tutto il traffico che passa tramite il dispositivo e un modulo per comunicazioni offuscate tramite Tor. Secondo i ricercatori in questo stadio è possibile che operino anche altri plug-in non ancora scoperti.

Quali sono i dispositivi interessati?

Il malware VPNFilter colpisce vari router consumer di Linksys, MikroTik, Netgear e TP-Link e anche alcuni dispositivi NAS di QNAP. E' uno dei pochi malware che colpisce dispositivi di rete / Internet-of-Things che può sopravvivere ad un riavvio del dispositivo. Symantec ha pubblicato nel corso della giornata di ieri una nota nella quale elenca una serie di dispositivi presi di mira da VPNFilter, anche se non è dato sapere se vi possano essere altri dispositivi interessati:

  • Linksys: E1200, E2500, WRVS4400N
  • Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
  • TP-Link: R600VPN
  • MikoTik: RouterOS for Cloud Core Routers - versioni 1016, 1036 e 1072
  • QNAP: TS251, TS439 Pro, NAS con software QTS

I ricercatori non ancora hanno individuato le modalità di infezione dei dispositivi, sebbene la maggior parte di quelli presi di mira sono anche soggetti ad exploit già pubblicamente noti o sono protetti da credenziali di default, rendendo la compromissione abbastanza semplice.

Come correre ai ripari

Cisco e Symantec avvertono coloro i quali sono in possesso di uno qualsiasi di questi dispositivi di eseguire un factory reset, un processo che di norma richiede la pressione di uno specifico pulsante situato sul retro del dispositivo (spesso da effettuare con un oggetto appuntito) per una decina di secondi. Questa operazione elimina anche la configurazione del dispositivo, che andrà ovviamente riconfigurato una volta che viene riavviato. Un semplice riavvio del dispositivo avrà in ogni caso l'effetto di fermare almeno l'operatività delle fasi 2 e 3 a meno fino a quando la fase 1 non provvederà a reinstallare le componenti necessarie. Gli utenti dovrebbero inoltre cambiare tutte le password di default, assicurarsi che i loro dispositivi siano equipaggiati con il firmware più aggiornato e, quando possibile, disabilitare l'amministrazione remota.

Attualmente non esiste un modo semplice di stabilire se un router sia stato o meno compromesso. Non è ancora chiaro se l'ultima versione dei firmware e le password non di default possano aver prevenuto l'infezione. Sebbene, come detto, gli attaccanti abbiano usato vulnerabilità note è bene tenere presente che, data la qualità generalmente di basso livello dei firmware dei dispositivi di rete / IoT è possibile che siano sfruttate anche falle zero-day di cui i produttori non sono a conoscenza.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
v10_star24 Maggio 2018, 17:44 #1
probabile testimone in prima persona di questo o di un simile exploit su un netgear tra questi modelli di un utente di un'azienda cliente: cercando di raggiungere il server email aziendale protetto via https, veniva segnalato da outlook un certificato una serverfarm spagnola, anzichè quello originario: non c'erano dns e file host che tenevano, e il nome veniva risolto correttamente: tipico attacco mitm. Via tethering col cellulare invece, nessun problema.

Inoltre mi è successo con un paio di router dlink, sempre di clienti, di essere di punto in bianco brikkati con l'unica opzioni di sostituirli.

Oggiorno, ritengo sia da "pazzi" (in senso buono ovviamente) usare pop3, imap o smtp non cifrati e sono sempre + convinto del fatto che i router soho oggigiorno in commercio siano praticamente spazzatura, dal punto di vista della sicurezza.

Sopreso negativamente da mikrotik, a mio avviso tutt'altro che soho
s-y24 Maggio 2018, 17:54 #2
Originariamente inviato da: v10_star
Sopreso negativamente da mikrotik


in effetti non è soho
ad ogni modo diciamo che negli anni, i loro bravi bug ho avuto modo di incontrarli (oltre ad una particolarmente tignosa procedura per aggiornare le licenze)
anche se in questo caso è diverso ovviamente

btw, come non scordare il 'malware' (che poi era semplicemente un banalissimo scriptino) che un paio di anni fa ha resettato la roba ubiquiti (altro non strettamente soho) ovunque?

poi oh, nessuno è esente dai bug

poi certo, appunto questo caso è a parte
v10_star24 Maggio 2018, 20:40 #3
Si ricordo la mattanza ubiquiti di un paio d'anni fa: personalmente non mi ha toccato ma di norma non lascio mai l'if di management sulla vlan1 o sulla rete si default ove possibile, pace se poi deco mettere uno swichetto managed e taggare un paio di porte al posto di uno unmanaged e lasciare tutto "verto"

Sta di fatto che i prodotti consumer si sono evoluti molto nelle features (nas, router, cam.) I prezzi ora sono accessibili, il design ricercato bla bla bla, e dove é che resta da tagliare se non nello sviluppo del software o del post-vendita?

Per esempio della dlink io non comperei nemmeno una scatola di fiammiferi...
Sandro kensan24 Maggio 2018, 20:45 #4
Quando ho letto "legato al governo russo" ho smesso di leggere. I malware non si sa quasi con sicurezza da dove provengano, lo si sa solo se la propaganda USA si è messa in moto.
Sandro kensan24 Maggio 2018, 21:01 #5
Response to Claims of VPNFilter Malware Infections: Security Concerns Were Addressed in 2017

Taipei, Taiwan, May 24, 2018 – QNAP Systems, Inc. (QNAP) today issued a statement in response to recent claims that QNAP NAS is prone to malware infections by a program called “VPNFilter”. QNAP has been aware of the presence of VPNFilter since 2017 - and has addressed the issue with updates to the QTS operating system and the QNAP NAS Malware Remover application. This solution has been in place since mid-2017. The QNAP Security Response Team continuously investigates all security threats and releases updates as necessary to safeguard QNAP NAS users from the impact of malware and attacks.
s-y24 Maggio 2018, 22:05 #6
Originariamente inviato da: v10_star
Si ricordo la mattanza ubiquiti di un paio d'anni fa: personalmente non mi ha toccato ma di norma non lascio mai l'if di management sulla vlan1 o sulla rete si default ove possibile, pace se poi deco mettere uno swichetto managed e taggare un paio di porte al posto di uno unmanaged e lasciare tutto "verto"


eh, diciamo che dopo quel frangente in molti hanno come dire cambiato policy, e/o 'privatizzato' ip statici precedentemente pubblici

Sta di fatto che i prodotti consumer si sono evoluti molto nelle features (nas, router, cam.) I prezzi ora sono accessibili, il design ricercato bla bla bla, e dove é che resta da tagliare se non nello sviluppo del software o del post-vendita?

Per esempio della dlink io non comperei nemmeno una scatola di fiammiferi...


penso sia soprattutto, ma sempre supporto/sviluppo è, perchè non vengono più aggiornati, es le ip cam, 'na strage...
e tra l'altro vanno anche a 'sporcare' il nome dell'os che ci gira dentro quasi sempre
Cfranco24 Maggio 2018, 22:08 #7
Originariamente inviato da: Sandro kensan
Quando ho letto "legato al governo russo" ho smesso di leggere. I malware non si sa quasi con sicurezza da dove provengano, lo si sa solo se la propaganda USA si è messa in moto.


È per forza russo, quelli della NSA sono messi direttamente dentro Windows
\_Davide_/25 Maggio 2018, 00:36 #8
Domani è meglio se vado a cambiare il DGN2200 che c'è in un ente che seguo, conoscendo i dipendenti

Riguardo ai Dlink brickati, so che succedeva con password di default! Qualche simpaticone che si divertiva con poco (qualche mese fa lo hanno fatto anche con i DVR delle IPcam, non ricordo la marca).
frankie25 Maggio 2018, 08:50 #9
Il mio router è salvo da questo exploit, è già stato compromesso da uno precedente.
Kyo7225 Maggio 2018, 09:30 #10
Certo che se la gente imparasse a cambiare le credenziali di default questo non succederebbe (succederebbe lo stesso se non si aggiornano i firmware ma lasciare le credenziali di accesso di default e' un invito a nozze per questi malware).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^