VPNFilter

VPNFilter è un malware multi-stadio progettato per colpire router e NAS (Network-Attached Storage) di vari costruttori. Inizialmente (il 24 maggio del 2018) si era stimato che avesse infettato almeno 500.000 dispositivi nel mondo^[1]. In seguito tuttavia sono stati scoperti altri modelli vulnerabili al malware, cosa che potrebbe aggiungere altri 200.000 dispositivi al computo totale^[2]. VPNFilter è molto pericoloso: è in grado di rubare dati, anche da connessioni che dovrebbero usare la crittografia; inoltre contiene una funzione di autodistruzione (o un modulo opzionale equivalente) progettata per disabilitare completamente un dispositivo infetto a comando. È persino in grado di permanere in memoria al riavvio del dispositivo.^[3] L'FBI ritiene che sia stato creato dal gruppo di hacker russi chiamato Fancy Bear.

Modo di Operare modifica

VPNFilter è molto versatile ed è in grado di infettare un numero ancora non completamente noto di dispositivi che includono vari router e NAS (si veda l'elenco aggiornato sotto). Sembra che sia stato progettato anche per colpire dispositivi di rete industriale che fanno uso del protocollo Modbus per parlare con e controllare macchinari in fabbriche e magazzini. Il malware contiene codice speciale, dedicato a colpire sistemi di controllo che usano il sistema SCADA.^[4]

Si ritiene che il malware usi password di fabbrica e/o vulnerabilità note di software non aggiornato per infettare i dispositivi, tuttavia i ricercatori non ne sono certi. Viene comunque consigliato fortemente di cambiare le password e aggiornare il software per tentare di contenere la diffusione del malware.

VPNFilter è molto versatile/resistente perché si installa in fasi multiple:

Lo stadio 1 aggiunge del codice estraneo al crontab, ossia alla lista dei task che girano ad intervalli regolari controllati dal programma scheduler cron di Linux. Ciò gli permette di rimanere sul dispositivo e reinfettarlo con gli altri stadi, anche se questi vengono rimossi.
Lo stadio 2 è la parte principale del malware. Include il codice di base che esegue tutte le funzioni principali (in alcune versioni anche quella di autodistruzione). Inoltre esegue le istruzioni richieste da qualsiasi dei moduli opzionali dello stadio 3.
Lo stadio 3 comprende vari moduli "plugin" che possono essere scaricati opzionalmente per eseguire compiti specifici, come spiare il traffico di dispositivi industriali (Modbus SCADA), intercettare sessioni criptate per cercare di passarle in chiaro, usare software Tor per comunicare con il "dark web" in maniera criptata, ecc.

Lo stadio 3 è quello più versatile e potenzialmente pericoloso: può scaricare vari moduli opzionali che includono i due plugin dstr e ssler scoperti recentemente^[2].

Il modulo dstr aggiunge una funzione di distruzione del dispositivo infettato per usi specifici come, ad esempio, per cancellare qualsiasi traccia del malware, così che non sia più analizzabile dai tecnici informatici.
Il modulo ssler è progettato per lanciare un attacco man-in-the-middle (MITM) sul traffico Web in ingresso al dispositivo infetto.

Che cosa fa modifica

VPNFilter sniffa i dati sulla rete connessa ad un dispositivo infetto, raccogliendo informazioni come password, nomi utenti, e altre credenziali, oltre che dati di controllo di reti industriali. Inoltre, rende il dispositivo infetto parte di una botnet che può usare come sorgente per degli attacchi che fanno uso delle informazioni rubate.

Misure di mitigazione modifica

Sia Cisco che Symantec suggeriscono che i proprietari di dispositivi potenzialmente infetti effettuino un reset di fabbrica. Tipicamente questa procedura si effettua con un oggetto appuntito come una graffetta premendo un minuscolo bottone di reset sul retro del dispositivo per 10-30 secondi (a seconda del modello). Ciò dovrebbe rimuovere completamente il malware, ma con anche l'effetto di cancellare qualsiasi modifica alla configurazione effettuata dall'utente (che quindi va poi ripristinata).

Dispositivi vulnerabili a VPNFilter (lista nota) modifica

Si ritiene che l'infezione iniziale di VPNFilter possa solo avvenire con dispositivi che girano un firmware embedded basato su Busybox o Linux compilati per un certo numero di processori, ma non il Linux standard che gira sui PCs.

I ricercatori hanno identificato i seguenti dispositivi come vulnerabili e quindi potenzialmente infetti:^[5]^[6]

Dispositivi Asus:

RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U

Dispositivi D-Link:

DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N

Dispositivi Huawei:

HG8245

Dispositivi Linksys:

E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N

Dispositivi Mikrotik:

CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Mikrotik RouterOS, versioni fino alla 6.38.5 oppure fino alla 6.37.5 a seconda della release ^[7]

Dispositivi Netgear:

DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50

Dispositivi QNAP:

TS251
TS439 Pro
Altri NAS QNAP che girano il software QTS

Dispositivi TP-Link:

R600VPN
TL-WR741ND
TL-WR841N

Dispositivi Ubiquiti:

NSM2
PBE M5

Dispositivi Upvel:

Elenco al momento sconosciuto (i ricercatori non sono stati in grado di identificarli)

Dispositivi ZTE:

ZXHN H108N

Diffusione modifica

Cisco Talos ritiene che VPNFilter abbia infettato 500.000-1M di dispositivi nel mondo,^[8] in 54 nazioni differenti, anche se con un focus maggiore sull'Ucraina.

Indagine dell'FBI modifica

L'FBI ha adottato un ruolo molto attivo nella lotta a questo malware, sequestrando il dominio toknowall.com usato dallo stadio 1 del malware per localizzare e installare copie degli stadi 2 e 3.^[9]

Consigli dell'FBI per tutti i proprietari di router modifica

Il 25 maggio 2018, l'FBI ha suggerito a tutti i proprietari di router SOHO e NAS di effettuare un riavvio del proprio dispositivo.^[10] Ciò dovrebbe rimuovere temporaneamente gli stadi 2 e 3 e lasciare solo lo stadio 1, che a quel punto dovrebbe tentare di riscaricare gli altri stadi. In quel modo gli investigatori dovrebbero riuscire a scoprire tutti i dispositivi infetti e potenzialmente a scoprire anche ulteriori origini dell'infezione.^[1]^[11]^[12]

Note modifica

^ ^a ^b arstechnica.com, https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/ Titolo mancante per url url (aiuto).
^ ^a ^b (EN) VPNFilter malware infecting 500,000 devices is worse than we thought, in Ars Technica. URL consultato il 21 giugno 2018.
^ (EN) VPNFilter state-affiliated malware pose lethal threat to routers, in SlashGear, 24 maggio 2018. URL consultato il 31 maggio 2018.
^ VPNFilter: New Router Malware with Destructive Capabilities
^ blog.talosintelligence.com, https://blog.talosintelligence.com/2018/06/vpnfilter-update.html Titolo mancante per url url (aiuto).
^ (EN) VPNFilter: New Router Malware with Destructive Capabilities. URL consultato il 21 giugno 2018.
^ forum.mikrotik.com, https://forum.mikrotik.com/viewtopic.php?t=134776 Titolo mancante per url url (aiuto).
^ (EN) Hackers infect 500,000 consumer routers all over the world with malware, in Ars Technica. URL consultato il 21 giugno 2018.
^ FBI to all router users: Reboot now to neuter Russia's VPNFilter malware
^ (EN) Internet Crime Complaint Center (IC3) | Foreign Cyber Actors Target Home and Office Routers and Networked Devices Worldwide, su www.ic3.gov. URL consultato il 21 giugno 2018.
^ arstechnica.com, https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill-malware-infecting-500k-devices/ Titolo mancante per url url (aiuto).
^ thedailybeast.com, https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet Titolo mancante per url url (aiuto).

Collegamenti esterni per approfondimenti modifica

Allarme dell’FBI: Tutti i Router Wireless Sono Infettati da VPNFilter? E i PC?, su blogsalutedigitale.it.

[:0-1] rstechnica.com, https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/ Titolo mancante per url url (aiuto).

[:2-2] (EN) VPNFilter malware infecting 500,000 devices is worse than we thought, in Ars Technica. URL consultato il 21 giugno 2018.

[:1-3] (EN) VPNFilter state-affiliated malware pose lethal threat to routers, in SlashGear, 24 maggio 2018. URL consultato il 31 maggio 2018.

[symantec-4] VPNFilter: New Router Malware with Destructive Capabilities

[5] .talosintelligence.com, https://blog.talosintelligence.com/2018/06/vpnfilter-update.html Titolo mancante per url url (aiuto).

[6] (EN) VPNFilter: New Router Malware with Destructive Capabilities. URL consultato il 21 giugno 2018.

[7] rum.mikrotik.com, https://forum.mikrotik.com/viewtopic.php?t=134776 Titolo mancante per url url (aiuto).

[8] (EN) Hackers infect 500,000 consumer routers all over the world with malware, in Ars Technica. URL consultato il 21 giugno 2018.

[zdnet-9] FBI to all router users: Reboot now to neuter Russia's VPNFilter malware

[10] (EN) Internet Crime Complaint Center (IC3) | Foreign Cyber Actors Target Home and Office Routers and Networked Devices Worldwide, su www.ic3.gov. URL consultato il 21 giugno 2018.

[11] rstechnica.com, https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill-malware-infecting-500k-devices/ Titolo mancante per url url (aiuto).

[beast-12] thedailybeast.com, https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet Titolo mancante per url url (aiuto).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]