martedì 5 giugno 2018

VPNFilter: il botnet malware più avanzato contro i dispositivi IoT.


VPNFilter è un malware che ha compromesso oltre 500.000 router di varie marche: è stato individuato verso la fine di Maggio e già in quel periodo aveva compromesso oltre 500.000 router finiti parte integrante di una grossa botnet. Tra i router troviamo Linksys, MikroTik, Netgear, TP-Link, NAS QNAP ecc...

Che cosa fa?
di per sé VPNFilter è un botnet malware pericoloso: è stato programmato per verificare in incognito tutto il traffico di rete riuscendo segretamente a sottrarre informazioni. VPNFilter però può anche interferire con tutto il traffico di rete, dando al suo controllore la possibilità di compiere azioni di boicottaggio sul router da remoto. La comunicazione passa attraverso la rete anonima Tor. Per
infettare i dispositivi questo malware usa una tecnica di exploit molto particolare, che si divide in due+una fasi:
  1. nella prima fase il payload ottiene le persistenza ad ogni avvio sul dispositivo, così da garantirsi la possibilità di sopravvivere al reboot (c'è solo un altro malware che ha mostrato di avere tali capacità). 
  2. nella seconda fase invece il payload scarica un RAT (remote access trojan) sul dispositivo
  3. nella terza fase si implementano nuovi moduli per RAT, così da garantirgli funzionalità extra. 
Fonte: Cisco Talos
Per capirsi sul potenziale di tale malware, VPNFilter può cancellare il firmware locale, intercettare il traffico di rete (sniffing) per rubare informazioni, comunicare via Tor, monitorare i protocolli Modbus SCADA, che lasciano attiva la comunicazione su Tor, sulla porta 502. Comunica ovviamente con un server C&C in mano agli attaccanti, che inviano comandi da remoto ai dispositivi.  E' ritenuto dalla comunità IT& uno dei più avanzati malware IoT mai distribuiti. 

La guerra dell'FBI a VPNFilter
Pochi giorni dopo la divulgazione da parte di Cisco Talos dei dati tecnici di questo malware, l'FBI ha annunciato di aver preso il controllo del server di Command and Control della botnet composta da VPNFilter: un rete appunto di oltre 500.000 dispositivi. Cisco aveva già annunciato che la botnet sembrava prepararsi ad un attacco verso una precisa nazione, l'Ucraina appunto, dato che l'operatore dietro VPNFilter era indaffaratissimo nell'infettare quanti più dispositivi possibili in Europa, ma con una precisa concentrazione in Ucraina. I Servizi Segreti Ucraini avevano già annunciato, a mezzo stampa, il rischio di un attacco probabilmente in contemporanea con la finale dellla UEFA Champons League che si è poi svolto, senza incidenti, a Kiev. L'FBI invece ha pubblicamente dichiarato di ritenere responsabili del malware, a fine di sabotaggio e spionaggio, il gruppo hacker russo APT28 (noto anche con altri nomi), lo stesso che sarebbe dietro al ransomware NotPetya e BlackEnergy (altro malware di sabotaggio che interruppe parti considerevoli dell'approvvigionamento di energia elettrica in Ucraina tra il 2015 e il 2016). 

Il ritorno?
Nonostante il duro colpo inflitto dall'FBI VPNFilter non pare sconfitto, anzi. I dati telemetrici stanno confermando, ormai da qualche giorno, che VPNFilter sta cercando di tornare in sella. Alcuni ricercatori hanno infatti messo in guardia riguardo al fatto che i malware stia già compiendo svariati tentativi per completare la prima fase di compromissione per ricostruire la botnet. C'è però una novità: la scansione in cerca di dispositivi vulnerabili si sta concentrando solo ed esclusivamente sull'Ucraina e nel dettaglio sui router con la porta 2000 esposta online. Che l'obiettivo sia l'Ucraina non pare essere in dubbio: l'FBI, dopo l'attacco al server C&C della botnet, ha scoperto che c'è un secondo server dedicato solo alla gestione dei dispositivi ucraini, in maniera seprata dalla botnet principale. 

Cosa fare?
La prima puntata di questa infezione, come detto, ha cokpito moltissimi router, quasi tutti in Europa, ma non solo in Ucraina. Così può essere utile dare qualche indicazione su come affrontare il problema. Anzitutto questa la lista dei dispositivi compromessi che l'FBI ha ricostruito tramite il server C&C:

Linksys E1200
Linksys E2500
Linksys WRVS4400N
Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
Other QNAP NAS devices running QTS software
TP-Link R600VPN

Per il resto l'FBI consiglia il reset dei router e dei NAS sopra elencati ad ogni utente, sopratutto europeo, che ne possegga uno, di non lasciare esposte le porte, di usare password molto solide e di aggiornare il firmware. 

Nessun commento:

Posta un commento