Avatar di Redazione

a cura di Redazione

I ricercatori di Cisco Talos Intelligence Group hanno segnalato la presenza di un nuovo malware denominato VPNFilter che ha già compromesso oltre 500.000 router di varie marche in almeno 54 Paesi. I produttori coinvolti, al momento, sono Linksys, MikroTik, Netgear, TP-Link e QNAP, quest'ultima interessata nell'ambito Network Attached Storage (NAS).

VPNFilter è un malware botnet molto pericoloso. È in grado di controllare in incognito tutto il traffico di rete, rubando così dati e informazioni segretamente. Non solo, questo malware ha la capacità di interferire con tutto il traffico di rete e dà all'hacker la possibilità di compiere operazioni distruttive sul router da remoto. La comunicazione avviene attraverso la rete anonima di Tor.

Exploit compiuto da VPNFilter

immagine exploit vpnfilter

L'exploit si divide in due fasi: nella prima, VPNFilter infetta i dispositivi e li forza al riavvio, in modo da creare un punto di appoggio e assicurarsi di mantenere la persistenza. Dopodiché, si passa alla seconda fase, che consiste nell'intercettazione e nel recupero di file e dati sensibili. Nella fase 2, VPNFilter potrebbe anche lanciare il comando "kill" per innescare l'autodistruzione del router. A completare il secondo step, nel malware sono presenti dei moduli di fase 3, considerati plug-in, che permettono di effettuare l'intercettazione del traffico di rete (sniffing) e il monitoraggio dei protocolli Modbus SCADA, che lasciano attiva la comunicazione su Tor.

Il codice del malware è molto simile alle versioni di BlackEnergy, il noto virus che è stato responsabile degli attacchi informatici in Ucraina. Difatti, stando a quanto comunicato dai ricercatori Cisco, è proprio da tale Nazione che sembra essersi propagato.

Per difendersi da VPNFilter, nel comunicato ufficiale, il team di sicurezza Cisco consiglia di resettare il router e di cambiare tutte le password predefinite. In aggiunta, viene suggerito vivamente di aggiornare il firmware. In questo modo, non appena i produttori risolveranno le vulnerabilità attaccate da VPNFilter, i dispositivi saranno al sicuro. Nel caso non si potesse aggiornare il router, perché magari non è più supportato dal produttore, sarebbe meglio sostituirlo, onde evitare di essere hackerati.