VPNFilter, la nuova versione malware mette KO i router e resiste al riavvio.


Arriva dalla Russia il nuovo, terribile malware che infetta router e NAS di tutte le marche, mettendoli KO e rubando dati sensibili, comprese le password. I ricercatori di Cisco l’hanno chiamato VPN Filter e hanno scoperto che è uno dei peggiori malware scritti per i dispositivi di rete. Attacca tutti i dispositivi indiscriminatamente, resiste alla crittografia SSL ed è totalmente insensibile al riavvio del dispositivo. 

USA. Un allarme senza precedenti: l’FBI ha rilevato un attacco da parte di un hacker dalla Russia attraverso il quale sarebbe stato introdotto un malware che si sarebbe “appropriato” del router di casa. Le autorità statunitensi hanno identificato questo malware come VPNFilter e prenderebbero il controllo del nostro router per diffondere attacchi globali coordinati e, naturalmente, registrare tutte le attività sulla rete di dispositivi connessi.

La portata di questo attacco è ancora sconosciuta, ma si stima che oltre mezzo milione di router domestici saranno colpiti in tutto il mondo e, data la configurazione di rete di questo tipo di attacco, si presume che questo numero sarà attivato in modo esponenziale in qualsiasi momento.

L’operazione è la seguente: un router affetto da VPNFilter rimane in modalità letargica in attesa di ricevere istruzioni per effettuare un attacco coordinato contro un obiettivo determinato dagli hacker.

Nel frattempo, registrerebbe tutte le informazioni provenienti dalla nostra attività sulla rete (sì, anche le password), ei ricercatori che hanno identificato l’hack hanno verificato l’esistenza di un “pulsante letale” attraverso il quale gli aggressori potevano disabilitare permanentemente il dispositivo.

Il router è sempre un dispositivo “più vulnerabile”, secondo questo esperto, dal momento che viene solitamente commercializzato con le impostazioni di fabbrica “e in ambienti di piccole dimensioni non è protetto con strumenti come l’antivirus”.

 

Il risultato dell’infezione è, nella migliore delle ipotesi, un dispositivo totalmente inutilizzabile (brickato, in gergo). Nella peggiore si dovrà temere che alcuni dati sensibili, tra cui le password, siano state trafugate. E i dispositivi che ad oggi risultano compromessi sono moltissimi e di tutte (o quasi) le marche. ASUS, D-Link, Huawei, Linksys, Microtik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel e ZTE (le ultime due poco diffuse, almeno con il brand originale, dalle nostre parti).

La notizia è di quelle brutte, ma il malware sembra aver preso di mira, almeno per ora, l’Ucraina e una parte dell’Italia.

Il che non stupisce, vista l’origine russa del malware. Questo non significa però che nel resto del mondo si possa star tranquilli. Il malware si diffonde a macchia d’olio e colpisce indiscriminatamente ogni dispositivo vulnerabile.

TP-Link TL-R600VPN, uno dei tanti router preso di mira da VPN Filter

Come opera VPN Filter?

Il malware opera in tre fasi distinte:

Nella prima si installa e contatta un Command & Control Server per scaricare tutti i moduli necessari.

Nella seconda, quella operativa, il malware diventa capace di raccogliere file, eseguire comandi e gestire il dispositivo che lo ospita. In questa fase può già “brickare” il dispositivo e riscrivere una parte del firmware per diventare immune al reboot.
Infine nell’ultima fase, la terza, installa uno sniffer in grado di analizzare il traffico sulla porta 80 (quindi quello dei siti web) e rubare di fatto credenziali usate sui siti web. Il malware è curiosamente (ma nemmeno tanto) interessato particolarmente al traffico del protocollo Modbus SCADA, un sistema di controllo e raccolta dati utilizzato in ambito industriale.

Le soluzioni esistono: update o hard-reset

Come se ne esce? Per fortuna in maniera abbastanza semplice: scaricando un firmware aggiornato (quando e se il produttore ne ha rilasciato uno che neutralizza il malware), oppure facendo un hard-reset del dispositivo, in modo da cancellare totalmente le impostazioni e il contenuto della memoria del dispositivo.  Un rimedio tutto sommato semplice e indolore, se si è disposti a investire un po’ di tempo nella configurazione di base del router stesso. Altre soluzioni, in ogni modo, non ce ne sono.

Netgear WNR1000, un altro modello a rischio

Quali sono i dispositivi a rischio?

Ho pensato di farvi avere almeno, o in parte tutti i modelli router a rischio, proprio per essere più chiari possibile.

L’elenco dei dispositivi vulnerabili è in continuo aggiornamento. Symantec pubblica una lista aggiornata sul proprio blog disponibile a questo indirizzo. Per comodità ne riportiamo alcuni direttamente qui:

Asus RT-AC66U (new)
Asus RT-N10 (new)
Asus RT-N10E (new)
Asus RT-N10U (new)
Asus RT-N56U (new)
Asus RT-N66U (new)

D-Link DES-1210-08P (new)
D-Link DIR-300 (new)
D-Link DIR-300A (new)
D-Link DSR-250N (new)
D-Link DSR-500N (new)
D-Link DSR-1000 (new)
D-Link DSR-1000N (new)

Huawei HG8245 (new)

Linksys E1200
Linksys E2500
Linksys E3000 (new)
Linksys E3200 (new)
Linksys E4200 (new)
Linksys RV082 (new)
Linksys WRVS4400N

MikroTik CCR1009 (new)
MikroTik CCR1016
MikroTik CCR1036
MikroTik CCR1072
MikroTik CRS109 (new)
MikroTik CRS112 (new)
MikroTik CRS125 (new)
MikroTik RB411 (new)
MikroTik RB450 (new)
MikroTik RB750 (new)
MikroTik RB911 (new)
MikroTik RB921 (new)
MikroTik RB941 (new)
MikroTik RB951 (new)
MikroTik RB952 (new)
MikroTik RB960 (new)
MikroTik RB962 (new)
MikroTik RB1100 (new)
MikroTik RB1200 (new)
MikroTik RB2011 (new)
MikroTik RB3011 (new)
MikroTik RB Groove (new)
MikroTik RB Omnitik (new)
MikroTik STX5 (new)

Netgear DG834 (new)
Netgear DGN1000 (new)
Netgear DGN2200
Netgear DGN3500 (new)
Netgear FVS318N (new)
Netgear MBRN3000 (new)
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
Netgear WNR2200 (new)
Netgear WNR4000 (new)
Netgear WNDR3700 (new)
Netgear WNDR4000 (new)
Netgear WNDR4300 (new)
Netgear WNDR4300-TN (new)
Netgear UTM50 (new)

QNAP TS251
QNAP TS439 Pro
Altri NAS QNAP con software QTS

TP-Link R600VPN
TP-Link TL-WR741ND (new)
TP-Link TL-WR841N (new)

Ubiquiti NSM2 (new)
Ubiquiti PBE M5 (new)

Upvel Devices (modelli sconosciuti) (new)

ZTE Devices ZXHN H108N (new)

Previous Ottimizzare SSD
Next Virus che ruba password arriva anche in Italia, ecco come riconoscerlo

No Comment

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

8 + 8 =