VPNFilter

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

VPNFilter è un malware multi-stadio progettato per colpire router e NAS (Network-Attached Storage) di vari costruttori. Inizialmente (il 24 maggio del 2018) si era stimato che avesse infettato almeno 500.000 dispositivi nel mondo[1]. In seguito tuttavia sono stati scoperti altri modelli vulnerabili al malware, cosa che potrebbe aggiungere altri 200.000 dispositivi al computo totale[2]. VPNFilter è molto pericoloso: è in grado di rubare dati, anche da connessioni che dovrebbero usare la crittografia; inoltre contiene una funzione di autodistruzione (o un modulo opzionale equivalente) progettata per disabilitare completamente un dispositivo infetto a comando. È persino in grado di permanere in memoria al riavvio del dispositivo.[3] L'FBI ritiene che sia stato creato dal gruppo di hacker russi chiamato Fancy Bear.

Modo di Operare[modifica | modifica wikitesto]

VPNFilter è molto versatile ed è in grado di infettare un numero ancora non completamente noto di dispositivi che includono vari router e NAS (si veda l'elenco aggiornato sotto). Sembra che sia stato progettato anche per colpire dispositivi di rete industriale che fanno uso del protocollo Modbus per parlare con e controllare macchinari in fabbriche e magazzini. Il malware contiene codice speciale, dedicato a colpire sistemi di controllo che usano il sistema SCADA.[4]

Si ritiene che il malware usi password di fabbrica e/o vulnerabilità note di software non aggiornato per infettare i dispositivi, tuttavia i ricercatori non ne sono certi. Viene comunque consigliato fortemente di cambiare le password e aggiornare il software per tentare di contenere la diffusione del malware.

VPNFilter è molto versatile/resistente perché si installa in fasi multiple:

  1. Lo stadio 1 aggiunge del codice estraneo al crontab, ossia alla lista dei task che girano ad intervalli regolari controllati dal programma scheduler cron di Linux. Ciò gli permette di rimanere sul dispositivo e reinfettarlo con gli altri stadi, anche se questi vengono rimossi.
  2. Lo stadio 2 è la parte principale del malware. Include il codice di base che esegue tutte le funzioni principali (in alcune versioni anche quella di autodistruzione). Inoltre esegue le istruzioni richieste da qualsiasi dei moduli opzionali dello stadio 3.
  3. Lo stadio 3 comprende vari moduli "plugin" che possono essere scaricati opzionalmente per eseguire compiti specifici, come spiare il traffico di dispositivi industriali (Modbus SCADA), intercettare sessioni criptate per cercare di passarle in chiaro, usare software Tor per comunicare con il "dark web" in maniera criptata, ecc.

Lo stadio 3 è quello più versatile e potenzialmente pericoloso: può scaricare vari moduli opzionali che includono i due plugin dstr e ssler scoperti recentemente[2].

  • Il modulo dstr aggiunge una funzione di distruzione del dispositivo infettato per usi specifici come, ad esempio, per cancellare qualsiasi traccia del malware, così che non sia più analizzabile dai tecnici informatici.
  • Il modulo ssler è progettato per lanciare un attacco man-in-the-middle (MITM) sul traffico Web in ingresso al dispositivo infetto.

Che cosa fa[modifica | modifica wikitesto]

VPNFilter sniffa i dati sulla rete connessa ad un dispositivo infetto, raccogliendo informazioni come password, nomi utenti, e altre credenziali, oltre che dati di controllo di reti industriali. Inoltre, rende il dispositivo infetto parte di una botnet che può usare come sorgente per degli attacchi che fanno uso delle informazioni rubate.

Misure di mitigazione[modifica | modifica wikitesto]

Sia Cisco che Symantec suggeriscono che i proprietari di dispositivi potenzialmente infetti effettuino un reset di fabbrica. Tipicamente questa procedura si effettua con un oggetto appuntito come una graffetta premendo un minuscolo bottone di reset sul retro del dispositivo per 10-30 secondi (a seconda del modello). Ciò dovrebbe rimuovere completamente il malware, ma con anche l'effetto di cancellare qualsiasi modifica alla configurazione effettuata dall'utente (che quindi va poi ripristinata).

Dispositivi vulnerabili a VPNFilter (lista nota)[modifica | modifica wikitesto]

Si ritiene che l'infezione iniziale di VPNFilter possa solo avvenire con dispositivi che girano un firmware embedded basato su Busybox o Linux compilati per un certo numero di processori, ma non il Linux standard che gira sui PCs.

I ricercatori hanno identificato i seguenti dispositivi come vulnerabili e quindi potenzialmente infetti:[5][6]

Dispositivi Asus:

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

Dispositivi D-Link:

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Dispositivi Huawei:

  • HG8245

Dispositivi Linksys:

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Dispositivi Mikrotik:

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5
  • Mikrotik RouterOS, versioni fino alla 6.38.5 oppure fino alla 6.37.5 a seconda della release [7]

Dispositivi Netgear:

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

Dispositivi QNAP:

  • TS251
  • TS439 Pro
  • Altri NAS QNAP che girano il software QTS

Dispositivi TP-Link:

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Dispositivi Ubiquiti:

  • NSM2
  • PBE M5

Dispositivi Upvel:

  • Elenco al momento sconosciuto (i ricercatori non sono stati in grado di identificarli)

Dispositivi ZTE:

  • ZXHN H108N

Diffusione[modifica | modifica wikitesto]

Cisco Talos ritiene che VPNFilter abbia infettato 500.000-1M di dispostivi nel mondo,[8] in 54 nazioni differenti, anche se con un focus maggiore sull'Ucraina.

Indagine dell'FBI[modifica | modifica wikitesto]

L'FBI ha adottato un ruolo molto attivo nella lotta a questo malware, sequestrando il dominio toknowall.com usato dallo stadio 1 del malware per localizzare e installare copie degli stadi 2 e 3.[9]

Consigli dell'FBI per tutti i proprietari di router[modifica | modifica wikitesto]

Il 25 maggio 2018, l'FBI ha suggerito a tutti i proprietari di router SOHO e NAS di effettuare un riavvio del proprio dispositivo.[10] Ciò dovrebbe rimuovere temporaneamente gli stadi 2 e 3 e lasciare solo lo stadio 1, che a quel punto dovrebbe tentare di riscaricare gli altri stadi. In quel modo gli investigatori dovrebbero riuscire a scoprire tutti i dispositivi infetti e potenzialmente a scoprire anche ulteriori origini dell'infezione.[11][1][12]

Note[modifica | modifica wikitesto]

  1. ^ a b arstechnica.com, https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/.
  2. ^ a b (EN) VPNFilter malware infecting 500,000 devices is worse than we thought, in Ars Technica. URL consultato il 21 giugno 2018.
  3. ^ (EN) VPNFilter state-affiliated malware pose lethal threat to routers, in SlashGear, 24 maggio 2018. URL consultato il 31 maggio 2018.
  4. ^ VPNFilter: New Router Malware with Destructive Capabilities
  5. ^ blog.talosintelligence.com, https://blog.talosintelligence.com/2018/06/vpnfilter-update.html.
  6. ^ (EN) VPNFilter: New Router Malware with Destructive Capabilities. URL consultato il 21 giugno 2018.
  7. ^ forum.mikrotik.com, https://forum.mikrotik.com/viewtopic.php?t=134776.
  8. ^ (EN) Hackers infect 500,000 consumer routers all over the world with malware, in Ars Technica. URL consultato il 21 giugno 2018.
  9. ^ FBI to all router users: Reboot now to neuter Russia's VPNFilter malware
  10. ^ (EN) Internet Crime Complaint Center (IC3) | Foreign Cyber Actors Target Home and Office Routers and Networked Devices Worldwide, su www.ic3.gov. URL consultato il 21 giugno 2018.
  11. ^ arstechnica.com, https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill-malware-infecting-500k-devices/.
  12. ^ thedailybeast.com, https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet.

Collegamenti esterni per approfondimenti[modifica | modifica wikitesto]