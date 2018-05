Nuovo allarme di sicurezza a livello mondiale. Secondo quanto affermato da alcuni ricercatori, un gruppo di hacker collegato ad una nazione (si dice la Russia) starebbero infettando più di 500.000 router domestici e di piccoli uffici con un malware in grado di raccogliere informazioni, lanciare attacchi contro altri e distruggere i dispositivi.

La notizia è stata lanciata in anteprima da Cisco, e nelle ultime ore sta rapidamente facendo il giro del mondo.

Il malware modulare multistadio è stato soprannominato VPNFilter, ed interesserebbe anche i router di fascia consumer realizzati da Linksys, MikroTik, Netgear, TP-Link e dispositivi di archiviazione collegati alla rete di QNAP. La gravità del malware è rappresentata dal fatto che si tratta del primo in assoluto a rivolgersi anche nel mercato dell'internet of things e che è in grado di sopravvivere anche ad un riavvio dello stesso router.

Al momento sarebbero state infettate 54 nazioni, ma l'attacco sarebbe cominciato nel 2016, nonostante i ricercatori di Cisco le stia monitorando solo da diversi mesi. Nelle ultime tre settimane è stato registrato un attacco, in particolare in Ucraina.

Nella giornata di ieri gli agenti dell'FBI hanno sequestrato uno dei server definiti chiave ed utilizzati nell'attacco. Gli stessi agenti hanno anche affermato che dietro tutto ci sarebbe il governo russo, che ha utilizzato ToKnowAll.com come metodo di backup per i router già infetti.

Il ricercatore di Cisco, William Largent, nel rapporto riferisce che il malware viene utilizzato per creare un'infrastruttura espansiva che può essere utilizzata per soddisfare le molteplici esigenze operative di coloro che l'hanno lanciato. "Poichè i dispositivi interessati sono legittimamente di proprietà di aziende ed individui, l'attività malevola potrebbe essere erroneamente attribuita a coloro che sono stati vittime dell'attacco" leggiamo in un estratto del rapporto.

Gli sniffer di VPNFilter raccolgono le credenziali di accesso ed ottengono il controllo di supervisione ed il traffico di acquisizione dati. I ricercatori hanno anche affermato i aver scoperto, in una porzione del malware, un comando che consente di disabilitare permanentemente il dispositivo, che potrebbe consentire ai malviventi di impedire agli utenti di accedere completamente ad internet.

Dietro l'attacco ci sarebbe un gruppo di hacker molto avanzato. La prima fase procede ad infettare i dispositivi che eseguono firmware basato su Busybox e Linux e compilato per diverse architetture della CPU. In questo modo viene individuato il server scaricando un'immagine da Photobucket.com ed estraendo l'indirizzo IP e valori per la connessione (latitudine e longitudine). In alternativa, il download viene effettuato da toknowall.com.

Nella fase due invece vengono raccolti file ed informazioni quali esecuzione dei comandi, estrazione di dati e gestione dei dispositivi. Alcune varianti del malware, in questa fase posseggono anche funzionalità di autodistruzione che sovrascrivono una parte critica del firmware del dispositivo, che viene riavviato e reso inutilizzabile.

La fase tre invece contiene uno sniffer di pacchetti per la raccolta del traffico, che passa attraverso il dispositivo. In questo modo il malware ottiene informazioni quali credenziali del sito web e protocolli SCADA Modbus. Un secondo modulo consente di comunicare tramite il servizio di privacy Tor, ma secondo i ricercatori sarebbero presenti plugin ancora non scoperti.

I ricercatori ancora non conoscono come i dispositivi vengono infettati, mentre Symantec ha diffuso una prima manciata di dispositivi interessati:

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Mikrotik RouterOS for Cloud Core Routers: Versioni 1016, 1036, and 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

Dispositivi QNAP NAS basati sul software QTS

TP-Link R600VPN

Cisco e Symantec consigliano agli utenti di eseguire il ripristino del sistema, modificare le password predefinite, ed effettuare l'aggiornamento alle ultime versioni del firmware, oltre a disabilitare l'amministrazione remota.