Nuovi moduli per VPNFilter. Il malware espande il suo campo d’azione

Set 27, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS 0

I pirati informatici hanno aggiunto sette nuove funzionalità al trojan più pericoloso del momento. I ricercatori di Talos: “c’è lo zampino di uno stato”.

Di solito quando viene individuato un malware, la reazione è di sollievo. Una volta che lo si è scoperto e analizzato è infatti possibile rilevarlo più facilmente e bloccarne l’azione. Nel caso di VPNFilter, però, sembra che le cose non stiano andando esattamente così.

Il malware, comparso lo scorso maggio, si diffonde sfruttando una serie di vulnerabilità conosciute di router e NAS, prendendo di mira in una fase successiva anche i dispositivi (sia PC che smartphone) collegati alla rete.

Già così ci sarebbe da mettersi le mani nei capelli. Considerato il vettore di attacco, infatti, bloccare VPNFilter risulta difficilissimo, visto che prende di mira dispositivi della Internet of Things che non possono integrare un antivirus e normalmente vengono aggiornati con una frequenza decisamente insufficiente per “tappare” le falle sfruttate dal malware per diffondersi.

Ma c’è di peggio. Secondo i ricercatori di Cisco Talos, VPNFilter è qualcosa di estremamente complesso e in continua evoluzione, come dimostra l’ultimo report pubblicato dagli analisti.

L’analisi accende i riflettori su ulteriori moduli di VPNFilter che i ricercatori hanno individuato e che espandono ulteriormente le sue funzionalità.

Tra i nuovi moduli c’è prima di tutto un sistema di mappatura delle reti infette, che consente agli autori del malware di individuare tutti i dispositivi collegati alla rete e, di conseguenza, prenderli di mira con ulteriori attacchi.

I ricercatori hanno inoltre individuato moduli dedicati alla creazione di connessioni crittografate, utilizzate probabilmente per l’esfiltrazione dei dati e anche un sistema che sembra avere l’obiettivo di bloccare le comunicazioni crittografate in uscita dal computer, come quelle su Whatsapp e software simili.

Difficile dire quale sia lo scopo dello strumento. I ricercatori ipotizzano che sia un modo per “forzare” l’uso di altri strumenti che possono controllare.

L’aspetto più inquietante, però, è che gli stessi ricercatori segnalano la possibilità che gli autori di VPNFilter si stiano muovendo per ricostruire la loro botnet.

Quella originale, infatti, è stata messa K.O. dall’intervento delle forze di polizia e dalle società di sicurezza (tra cui la stessa Talos) attraverso il sequestro dei server Command and Control.

Il fatto che i cyber-criminali stiano aggiornando il loro malware, però, significa che la vicenda non è chiusa. Tanto più che, secondo gli stessi analisti, gli autori di VPNFilter potrebbero fare parte di un gruppo collegato a un governo.

La realizzazione di un malware di questa complessità, infatti, richiede l’impiego di mezzi a cui è difficile possa accedere un comune pirata informatico. Tanto più che la pianificazione nella diffusione di VPNFilter e la distribuzione geografica dei dispositivi compromessi (quasi tutti in Ucraina) fa pensare a un piano di attacco molto specifico. I soliti russi?

Condividi l'articolo