500 mila router colpiti e una minaccia che porta la firma “Sofacy Group” (hacker di origine russa già noti anche come “apt28”, “sandworm”, “x-agent”, “pawn storm”, “fancy bear” e “sednit”): si tratta del malware ” VPNFilter “, cuore di una botnet dal grande potenziale su cui l’FBI ha messo mano con un primo intervento in grado di calmierarne le conseguenze. La scoperta è da accreditarsi ai ricercatori Talos, dai quali giungono ora tutti i dettagli relativi alla cooperazione in atto con Cisco ed FBI per fare in modo che nessuno possa attivare la botnet nel pieno del sua potenza di fuoco. Magari con un obiettivo preciso in mente, peraltro: molti indizi lasciano pensare che il mirino fosse già sulla finale di Champions League di Kiev.
VPNFilter: i router vulnerabili
VPNFilter è un malware multi-stage , una piattaforma modulare e versatile che agisce a vari livelli per ottimizzare la propria resilienza e la propria efficacia. Coinvolti dal problema i router Netgear, Linksys, Mikrotik e TP-Link , per i quali si consiglia anzitutto l’aggiornamento del firmware all’ultima versione. Questo secondo Symantec l’elenco dei router principalmente vulnerabili:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS per Cloud Core Routers: versioni 1016, 1036, e 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
Come funziona VPNFilter
In particolare v’è un primo livello (in grado di resistere anche ad un reboot) che funge da elemento base, in grado di rigenerare la minaccia nel caso in cui un semplice riavvio del dispositivo vada a minarne le attività. Il funzionamento di questo primo livello è strettamente legato al sito Photobucket.com, dal quale il device tenta di scaricare una immagine: all’interno di quest’ultima, analizzando i numeri che compongono i dati GPS all’interno delle informazioni EXIF, VPNFilter è in grado di estrapolare uno specifico indirizzo IP. Nel caso in cui fallisse l’accesso a Photobucket.com, il malware ha pronta una via parallela di sicurezza, identificata nel sito toknowall.com presso il quale viene attivato medesimo procedimento.
Il secondo livello (che un reboot è in grado di sterilizzare) è in grado di catturare informazioni, eseguire comandi e gestire il dispositivo; addirittura è in grado potenzialmente di sovrascrivere parte del firmware rendendo inutilizzabile lo stesso device: quest’ultimo aspetto dimostra come il malware sia in grado di disabilitare in modo permanente il router, eliminando così ogni traccia del passaggio del malware stesso togliendo al contempo ogni possibilità di accesso al Web. Il funzionamento a questo stadio è legato ad un server esterno dal quale si attendono istruzioni.
Sussiste inoltre un terzo livello , modulato in plugin dedicati, sul quale ancora sono attive le ricerche: alcuni moduli sono in grado di sottrarre credenziali di accesso, altri fungono da packet sniffer, ma i ricercatori Talos si dicono certi dell’esistenza di altri plugin ad oggi non ancora individuati.
La maggior parte delle infezioni legate a VPNFilter è in Ucraina , cosa che ha lasciato immaginare la possibilità di un attacco su larga scala ideato per essere scagliato contro il paese che nei prossimi giorni si appresta ad ospitare la finale della Champions League . Ponendo un filtro sulle chiamate esterne del malware, l’FBI ritiene ora di aver posto un primo ostacolo a questo tipo di minaccia, ma consiglia tutti gli utenti potenzialmente infettati (coinvolte circa 54 nazioni in tutto il mondo) di riavviare il router per divincolarsi quantomeno dai livelli 2 e 3 del malware.
L’origine russa dell’infezione e la concentrazione ucraina dei dispositivi infetti sembra inserire questa nuova minaccia all’interno di un vecchio filone, secondo il quale all’origine del problema possa esserci una cyberguerra tra Russia e Ucraina per motivi che non hanno nulla a che vedere con i router, la Champions League o altro se non un braccio di ferro tra i due paesi. Il Cremlino ha sempre smentito, ma l’ennesimo indizio (non da ultimo, il malware sfrutta varie componenti già identificate nel precedente BlackEnergy scagliato nel 2015 proprio contro l’Ucraina) si aggiunge a quelli già disseminati negli anni nella storia delle minacce informatiche che hanno coinvolto più o meno direttamente le due nazioni.
Update del 28/05/2018
Questo lo statement ufficiale TP-Link sulla vicenda:
TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html .
TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html .
TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html .