Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina”
L’allarme è scattato mercoledì e ieri il bureau ha preso il controllo dei server. Forse i pirati volevano colpire il giorno della finale di Champions League.
Azione a tempo di record da parte dell’FBI, che a sole 24 ore dalla pubblicazione di un report sulla scoperta della botnet VPNFilter ha portato a termine un’azione che ha permesso di “disinnescare” la minaccia prendendo il controllo dei server Command and Control gestiti dai pirati informatici.
Ma andiamo con ordine. Il primo allarme è arrivato mercoledì scorso quando un gruppo di ricercatori di Talos (il team indipendente di Cisco per la sicurezza informatica) hanno pubblicato un report in cui spiegavano di aver individuato VPNFilter, un malware che aveva colpito più di 500.000 dispositivi.
Si tratta nello specifico di NAS QNAP e di numerosi modelli di router prodotti da Linksys, MikroTik, NETGEAR e TP-Link, che sarebbero stati compromessi sfruttando una serie di vulnerabilità ben conosciute e già corrette dai produttori. Tutti prodotti destinati al mercato casalingo o dei piccoli uffici, che difficilmente ricevono aggiornamenti con la stessa tempestività dei componenti installati nelle aziende.
Come spiegano i ricercatori, i primi indizi della presenza del malware risalgono a qualche mese fa, anche se ci sono indizi che la sua diffusione sia iniziata addirittura nel 2016. Da quel momento gli analisti, in collaborazione con le forze di polizia, ne stavano tenendo sotto controllo l’evoluzione.
VPN Filter, infatti, non è un malware per dispositivi IoT come gli altri. È in grado sia di rubare informazioni sensibile dai sistemi che colpisce, sia di mettere in atto azioni distruttive e sabotaggi.
Non solo: le caratteristiche del malware, come descritte da Talos, sono decisamente fuori dal comune. Si tratterebbe infatti del malware per dispositivi IoT più complesso che sia mai stato individuato.
La prima anomalia riguarda già la fase di infezione, ch ei ricercatori indicano come primo stadio dell’attacco. Mentre i normali worm (come Mirai) utilizzano tecniche che gli permettono di prendere il controllo del dispositivo ma non sono in grado di “sopravvivere” al riavvio del dispositivo stesso, VPNFilter forza il riavvio del device infetto proprio per garantirsi la persistenza.
La seconda fase prevede il collegamento a un server C&C dal quale viene scaricato un ulteriore modulo del malware (che però viene cancellato in caso di riavvio del dispositivo) e che contiene una serie di strumenti che permettono a VPNFilter di rubare informazioni dalla rete colpita.
Lo schema di funzionamento di VPNFilter come riassunto dai ricercatori di Talos. Se vi viene mal di testa non vi preoccupate: è normale.
Particolarissima anche la tecnica utilizzata per collegarsi al server esterno. Il malware, in pratica, nasconde l’indirizzo IP del server all’interno dei metadati EXIF contenuti in alcune immagini conservate su un bucket esterno.
VPNFilter contiene anche una sorta di sistema di autodistruzione, che avvia la riscrittura del firmware per rendere inutilizzabile il dispositivo colpito.
Una terza fase consente, infine, di scaricare e installare ulteriori moduli che aggiungono funzionalità al malware. I ricercatori di Talos ne hanno individuati due. Il primo consente la trasmissione di dati sul circuito Tor, mentre il secondo è uno sniffer in grado di intercettare tutto il traffico che passa sul dispositivo e in particolare quello relativo al protocollo usato da Modbus SCADA, un software utilizzato per il controllo e monitoraggio di sistemi industriali.
Insomma: secondo gli autori del report, VPNFilter rappresenterebbe lo strumento perfetto per creare un’infrastruttura in grado di agire con estrema versatilità e rimanere sottotraccia offuscando la sua attività.
La situazione ha subito un’accelerazione nelle ultime settimane, quando VPNFilter ha intensificato la sua attività. A partire dalla prima settimana di maggio, infatti, i ricercatori hanno registrato un’intensa attività di scanning e un incremento degli attacchi nei confronti dei dispositivi vulnerabili.
A creare apprensione era soprattutto il fatto che la quasi totalità delle infezioni erano concentrate in Ucraina. Abbastanza per pensare che qualcuno (dalle parti dell’FBI scommettono sui soliti servizi segreti russi e in particolare sul gruppo Fancy Bear) stesse preparando un attacco coordinato per mettere K.O. la rete su tutto il territorio ucraino.
Il sospetto dei ricercatori è che i cyber-criminali avessero intenzione di agire presto e le date ipotizzate dagli analisti erano due: la festa nazionale Ucraina che cade il 27 giugno (il giorno in cui l’anno scorso è partito l’attacco di NotPetya) o l’imminente finale di Champions League tra Real Madrid e Liverpool che si giocherà a Kiev il prossimo sabato 27 maggio.
Ipotesi che dalle parti dell’FBI sembrano aver preso sul serio e che hanno indotto i federali ad agire senza aspettare oltre. Nella giornata di ieri il bureau ha proceduto a sequestrare i server C&C collegati a VPNFilter.
AGGIORNAMENTO: Tp-Link ci ha inviato una dichiarazione ufficiale a proposito del coinvolgimento dei suoi router nella vicenda VPNFilter e la riportiamo di seguito:
TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html
Condividi l'articolo
Inghilterra: “Gli attacchi informatici sono un atto di guerra”
Nuove tecniche di attacco basate su Spectre. Arriva la variante 4
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
2 thoughts on “L’FBI blocca la botnet VPNFilter. “Volevano devastare l’Ucraina””