VPNFilter: il malware per router che intercetta dati e distrugge il dispositivo. 500 mila casi

Scoperto dai ricercatori di Cisco, il malware è altamente sofisticato e può consentire agli attaccanti di rendere inutilizzabile il dispositivo e di compiere altre azioni criminali
di Andrea Bai pubblicata il 24 Maggio 2018, alle 17:21 nel canale SicurezzaUn gruppo non identificato di hacker, ma presumibilmente supportati da una nazione avanzata, hanno compromesso oltre 500 mila router consumer e small-office con un malware altamente sofisticato che può essere usato per intercettare comunicazioni, lanciare attacchi su altri e distruggere in maniera permanente i dispositivi con un singolo comando. Del caso si sono occupati i ricercatori Cisco, pubblicando un report approfondito nel corso della giornata di ieri.
Il report di Cisco viene distribuito a poco più di un mese dall'allarme lanciato dal dipartimento della sicurezza nazionale USA, dall'FBI e dal National Cyber Secuirty Center del Regno Unito quando congiuntamente osservarono che hacker presumibilmente al soldo del governo Russo si trovavano coinvolti in attività di compromissione di un gran numero di dispositivi di rete di proprietà di governi, aziende e fornitori di infrastrutture critiche. Sono state rilevate infezioni in almeno 54 paesi che hanno iniziato a crescere lentamente sin dal 2016. I ricercatori Cisco le hanno monitorate per diversi mesi, riscontrando una crescita significativa delle compromissioni nel corso delle ultime tre settimane, che comprendono anche due attacchi rilevanti su dispositivi localizzati in Ucraina. Il picco, combinato con le avanzate capacità del malware di cui parleremo poco oltre, ha spinto Cisco a rilasciare il report prima che fosse completo.
Cisco osserva che VPNfilter - così è stato battezzato il nuovo malware - contiene una parte di codice identica già individuata nel malware conosciuto con il nome di BlackEnergy, quest'ultimo usato in vari attacchi legati al governo russo, tra cui il famoso attacco alle reti elettriche ucraine. Il nome della Russia, tuttavia, non viene chiaramente esplicitato nel report. Va però osservato che BlackEnergy è stato utilizzato anche da altri gruppi di attacco quindi la parziale sovrapposizione di codice non è una prova che dimostra che VPNFilter sia stato sviluppato su mandato del governo Russo. Il report di Cisco non ha fornito ulteriori attribuzioni agli attacchi, osservando solamente che fa uso di uno specifico indirizzo IP e due domini, per uno dei quali l'FBI ha già provveduto al sequestro dei server.
"Abbiamo dedotto con una certa sicurezza che questo malware è stato usato per creare un'infrastruttura estesa, di difficile attribuzione, che può essere usata per le varie necessità operative dell'attore di minaccia. Dato che i dispositivi colpiti sono legittimamente di proprietà di aziende o singoli individui, l'eventuale attività malevola condotta dai dispositivi infetti può essere erroneamente attribuita a chi in realtà è la vittima dell'attore di minaccia. Le funzionalità dei vari stadi operativi e dei plug-in del malware sono estremamente versatili e permetterebbero all'attore di trarre vantaggio dei dispositivi in diversi modi" spiega il ricercatore di Cisco William Largent.
VPNFilter - i tre stadi operativi
L'aspetto su cui comunque non vi sono dubbi è il fatto che VPNFilter è stato sviluppato da un gruppo con competenze avanzate. Il primo stadio operativo del malware comprende la compromissione di dispositivi provvisti di firmware basato su Busybox e Linux ed è compilato per varie architetture di CPU. Lo scopo principale è individuare un server controllato dagli attaccanti così da poter passare al secondo stadio operativo, con funzionalità più avanzate. Il server viene individuato scaricando un'immagine da photobucket.com ed estraendo un indirizzo IP da sei valori interi usati per le coordinate GPS e stoccato nel campo EXIF. Nel caso in cui non si riesca a scaricare il file da Photobucket, il malware tenta di scaricare l'immagine da toknowall*DOT*com. Nel caso in cui anche questo tentativo non vada a buon fine, viene aperto un "listener" che attende pacchetti-trigger specifici inviati dall'attaccante. Il listener controlla l'ip pubblico da api-ipify*DOT*org e li conserva per un uso successivo. Questa fase persiste anche dopo che il dispositivo infetto viene riavviato.

Il secondo stadio di operatività prevede attività di vera e propria intelligence, con la raccolta di file, l'esecuzione di comandi, il recupero di informazioni e la gestione del dispositivo. E' in questa fase che, in alcune versioni del malware, può essere sfruttata una funzionalità di "autodistruzione" che rende il router inservibile sovrascrivendo una porzione chiave del firmware e riavvia il dispositivo. I ricercatori sono tuttavia convinti del fatto che, anche in assenza di questa funzionalità, gli attaccanti sono in grado di rendere inutilizzabile il dispositivo manualmente, da remoto.
C'è poi un terzo stadio di operatività che comprende almeno due moduli plug-in: un packet-sniffer capace di intercettare tutto il traffico che passa tramite il dispositivo e un modulo per comunicazioni offuscate tramite Tor. Secondo i ricercatori in questo stadio è possibile che operino anche altri plug-in non ancora scoperti.
Quali sono i dispositivi interessati?
Il malware VPNFilter colpisce vari router consumer di Linksys, MikroTik, Netgear e TP-Link e anche alcuni dispositivi NAS di QNAP. E' uno dei pochi malware che colpisce dispositivi di rete / Internet-of-Things che può sopravvivere ad un riavvio del dispositivo. Symantec ha pubblicato nel corso della giornata di ieri una nota nella quale elenca una serie di dispositivi presi di mira da VPNFilter, anche se non è dato sapere se vi possano essere altri dispositivi interessati:
- Linksys: E1200, E2500, WRVS4400N
- Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
- TP-Link: R600VPN
- MikoTik: RouterOS for Cloud Core Routers - versioni 1016, 1036 e 1072
- QNAP: TS251, TS439 Pro, NAS con software QTS
I ricercatori non ancora hanno individuato le modalità di infezione dei dispositivi, sebbene la maggior parte di quelli presi di mira sono anche soggetti ad exploit già pubblicamente noti o sono protetti da credenziali di default, rendendo la compromissione abbastanza semplice.
Come correre ai ripari
Cisco e Symantec avvertono coloro i quali sono in possesso di uno qualsiasi di questi dispositivi di eseguire un factory reset, un processo che di norma richiede la pressione di uno specifico pulsante situato sul retro del dispositivo (spesso da effettuare con un oggetto appuntito) per una decina di secondi. Questa operazione elimina anche la configurazione del dispositivo, che andrà ovviamente riconfigurato una volta che viene riavviato. Un semplice riavvio del dispositivo avrà in ogni caso l'effetto di fermare almeno l'operatività delle fasi 2 e 3 a meno fino a quando la fase 1 non provvederà a reinstallare le componenti necessarie. Gli utenti dovrebbero inoltre cambiare tutte le password di default, assicurarsi che i loro dispositivi siano equipaggiati con il firmware più aggiornato e, quando possibile, disabilitare l'amministrazione remota.
Attualmente non esiste un modo semplice di stabilire se un router sia stato o meno compromesso. Non è ancora chiaro se l'ultima versione dei firmware e le password non di default possano aver prevenuto l'infezione. Sebbene, come detto, gli attaccanti abbiano usato vulnerabilità note è bene tenere presente che, data la qualità generalmente di basso livello dei firmware dei dispositivi di rete / IoT è possibile che siano sfruttate anche falle zero-day di cui i produttori non sono a conoscenza.
14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoInoltre mi è successo con un paio di router dlink, sempre di clienti, di essere di punto in bianco brikkati con l'unica opzioni di sostituirli.
Oggiorno, ritengo sia da "pazzi" (in senso buono ovviamente) usare pop3, imap o smtp non cifrati e sono sempre + convinto del fatto che i router soho oggigiorno in commercio siano praticamente spazzatura, dal punto di vista della sicurezza.
Sopreso negativamente da mikrotik, a mio avviso tutt'altro che soho
in effetti non è soho
ad ogni modo diciamo che negli anni, i loro bravi bug ho avuto modo di incontrarli (oltre ad una particolarmente tignosa procedura per aggiornare le licenze)
anche se in questo caso è diverso ovviamente
btw, come non scordare il 'malware' (che poi era semplicemente un banalissimo scriptino) che un paio di anni fa ha resettato la roba ubiquiti (altro non strettamente soho) ovunque?
poi oh, nessuno è esente dai bug
poi certo, appunto questo caso è a parte
Sta di fatto che i prodotti consumer si sono evoluti molto nelle features (nas, router, cam.) I prezzi ora sono accessibili, il design ricercato bla bla bla, e dove é che resta da tagliare se non nello sviluppo del software o del post-vendita?
Per esempio della dlink io non comperei nemmeno una scatola di fiammiferi...
Taipei, Taiwan, May 24, 2018 – QNAP Systems, Inc. (QNAP) today issued a statement in response to recent claims that QNAP NAS is prone to malware infections by a program called “VPNFilter”. QNAP has been aware of the presence of VPNFilter since 2017 - and has addressed the issue with updates to the QTS operating system and the QNAP NAS Malware Remover application. This solution has been in place since mid-2017. The QNAP Security Response Team continuously investigates all security threats and releases updates as necessary to safeguard QNAP NAS users from the impact of malware and attacks.
eh, diciamo che dopo quel frangente in molti hanno come dire cambiato policy, e/o 'privatizzato' ip statici precedentemente pubblici
Per esempio della dlink io non comperei nemmeno una scatola di fiammiferi...
penso sia soprattutto, ma sempre supporto/sviluppo è, perchè non vengono più aggiornati, es le ip cam, 'na strage...
e tra l'altro vanno anche a 'sporcare' il nome dell'os che ci gira dentro quasi sempre
È per forza russo, quelli della NSA sono messi direttamente dentro Windows
Riguardo ai Dlink brickati, so che succedeva con password di default! Qualche simpaticone che si divertiva con poco (qualche mese fa lo hanno fatto anche con i DVR delle IPcam, non ricordo la marca).
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".