Trascorse poche ore dal rilascio del comunicato ufficiale da parte di Cisco, il Governo americano ha dichiarato di aver oscurato un dominio chiave correlato a VPNFilter, il malware botnet che ha hackerato più di 500.000 router in 54 Paesi diversi.
Il dominio in questione si chiamava ToKnowAll.com ed era collegato al server centrale di VPNFilter, che comunicava in anonimo con una grande botnet composta da router e NAS infetti. Tagliando la comunicazione con il sito, l'FBI è riuscita a mettere al sicuro buona parte dei dispositivi compromessi.
Il contrattacco dell'FBI
In questo modo, l'FBI ha potuto prendere il controllo del command-and-control server di VPNFilter (C&C server). Così facendo, ha potuto reindirizzare le richieste malevole verso un proprio server controllato, che ha il compito di registrare gli indirizzi IP dei dispositivi infetti e di passarli in automatico alle autorità competenti, affinché possano rimuovere il malware. Precisamente, VPNFilter è stato fermato alla prima fase.
L'FBI consiglia pertanto di riavviare i router e i NAS che sono stati compromessi, in modo da liberarli almeno dalle fasi 2 e 3. Inoltre, è consigliato disattivare l'accesso remoto del router, aggiornare il suo firmware e, possibilmente, metterlo dietro a un firewall. Le marche coinvolte, ad oggi conosciute, sono Linksys, MikroTik, Netgear, TP-Link e QNAP. Per sapere con precisione quali modelli di router sono soggetti all'hacking, si può consultare la lista pubblicata da Symantec.
Nel frattempo, sono trapelati i nomi correlati ai cybercriminali che hanno creato e diffuso il malware VPNFilter. Il comunicato ufficiale del Dipartimento di Giustizia degli Stati Uniti parla chiaro. Il dito è stato puntato contro Sofacy, un gruppo di hacker conosciuto anche con il nome Fancy Bear, a cui sono stati colpevolizzati altri attacchi di questo tipo in passato. Si fermeranno adesso? Chi lo sa.