I ricercatori di Cisco Talos Intelligence Group hanno segnalato la presenza di un nuovo malware denominato VPNFilter che ha già compromesso oltre 500.000 router di varie marche in almeno 54 Paesi. I produttori coinvolti, al momento, sono Linksys, MikroTik, Netgear, TP-Link e QNAP, quest'ultima interessata nell'ambito Network Attached Storage (NAS).
VPNFilter è un malware botnet molto pericoloso. È in grado di controllare in incognito tutto il traffico di rete, rubando così dati e informazioni segretamente. Non solo, questo malware ha la capacità di interferire con tutto il traffico di rete e dà all'hacker la possibilità di compiere operazioni distruttive sul router da remoto. La comunicazione avviene attraverso la rete anonima di Tor.
Exploit compiuto da VPNFilter
L'exploit si divide in due fasi: nella prima, VPNFilter infetta i dispositivi e li forza al riavvio, in modo da creare un punto di appoggio e assicurarsi di mantenere la persistenza. Dopodiché, si passa alla seconda fase, che consiste nell'intercettazione e nel recupero di file e dati sensibili. Nella fase 2, VPNFilter potrebbe anche lanciare il comando "kill" per innescare l'autodistruzione del router. A completare il secondo step, nel malware sono presenti dei moduli di fase 3, considerati plug-in, che permettono di effettuare l'intercettazione del traffico di rete (sniffing) e il monitoraggio dei protocolli Modbus SCADA, che lasciano attiva la comunicazione su Tor.
Il codice del malware è molto simile alle versioni di BlackEnergy, il noto virus che è stato responsabile degli attacchi informatici in Ucraina. Difatti, stando a quanto comunicato dai ricercatori Cisco, è proprio da tale Nazione che sembra essersi propagato.
Per difendersi da VPNFilter, nel comunicato ufficiale, il team di sicurezza Cisco consiglia di resettare il router e di cambiare tutte le password predefinite. In aggiunta, viene suggerito vivamente di aggiornare il firmware. In questo modo, non appena i produttori risolveranno le vulnerabilità attaccate da VPNFilter, i dispositivi saranno al sicuro. Nel caso non si potesse aggiornare il router, perché magari non è più supportato dal produttore, sarebbe meglio sostituirlo, onde evitare di essere hackerati.