I ricercatori di Cisco Talos Intelligence Group hanno segnalato la presenza di un nuovo malware denominato VPNFilter che ha già compromesso oltre 500.000 router di varie marche in almeno 54 Paesi. I produttori coinvolti, al momento, sono Linksys, MikroTik, Netgear, TP-Link e QNAP, quest'ultima interessata nell'ambito Network Attached Storage (NAS). VPNFilter è un malware botnet molto pericoloso. È in grado di controllare in incognito tutto il traffico di rete, rubando così dati e informazioni segretamente. Non solo, questo malware ha la capacità di interferire con tutto il traffico di rete e dà all'hacker la possibilità di compiere operazioni distruttive sul router da remoto. La comunicazione avviene attraverso la rete anonima di Tor.
L'exploit si divide in due fasi: nella prima,VPNFilter infetta i dispositivi e li forza al riavvio, in modo da creare un punto di appoggio e assicurarsi di mantenere la persistenza. Dopodiché, si passa alla seconda fase, che consiste nell'intercettazione e nel recupero di file e dati sensibili. Nella fase 2, VPNFilter potrebbe anche lanciare il comando "kill" per innescare l'autodistruzione del router. A completare il secondo step, nel malware sono presenti dei moduli di fase 3, considerati plug-in, che permettono di effettuare l'intercettazione del traffico di rete (sniffing) e il monitoraggio dei protocolli Modbus SCADA, che lasciano attiva la comunicazione su Tor. Il codice del malware è molto simile alle versioni di BlackEnergy, il noto virus che è stato responsabile degli attacchi informatici in Ucraina. Difatti, stando a quanto comunicato dai ricercatori Cisco, è proprio da tale Nazione che sembra essersi propagato.
Per difendersi da VPNFilter, nel comunicato ufficiale, il team di sicurezza Cisco consiglia di resettare il router e di cambiare tutte le password predefinite. In aggiunta, viene suggerito vivamente di aggiornare il firmware. In questo modo, non appena i produttori risolveranno le vulnerabilità attaccate da VPNFilter, i dispositivi saranno al sicuro. Nel caso non si potesse aggiornare il router, perché magari non è più supportato dal produttore, sarebbe meglio sostituirlo, onde evitare di essere hackerati.
- Aggiornamento -
Di seguito trovate la lista presa da ZDnet dei dispositivi sensibii a VPNFilter:
Per testare se il vostro modem e vulnerabile a VPNFilter, la Symantec ha rilasciato un tool scaricabile dal sito:
http://www.symantec.com/filtercheck/
VPNFilter ha già hackerato 500.000 router
Pubblicato il 02/10/2018
I ricercatori di Cisco Talos Intelligence Group hanno segnalato la presenza di un nuovo malware denominato VPNFilter che ha già compromesso oltre 500.000 router di varie marche in almeno 54 Paesi. I produttori coinvolti, al momento, sono Linksys, MikroTik, Netgear, TP-Link e QNAP, quest'ultima interessata nell'ambito Network Attached Storage (NAS). VPNFilter è un malware botnet molto pericoloso. È in grado di controllare in incognito tutto il traffico di rete, rubando così dati e informazioni segretamente. Non solo, questo malware ha la capacità di interferire con tutto il traffico di rete e dà all'hacker la possibilità di compiere operazioni distruttive sul router da remoto. La comunicazione avviene attraverso la rete anonima di Tor.
L'exploit si divide in due fasi: nella prima,VPNFilter infetta i dispositivi e li forza al riavvio, in modo da creare un punto di appoggio e assicurarsi di mantenere la persistenza. Dopodiché, si passa alla seconda fase, che consiste nell'intercettazione e nel recupero di file e dati sensibili. Nella fase 2, VPNFilter potrebbe anche lanciare il comando "kill" per innescare l'autodistruzione del router. A completare il secondo step, nel malware sono presenti dei moduli di fase 3, considerati plug-in, che permettono di effettuare l'intercettazione del traffico di rete (sniffing) e il monitoraggio dei protocolli Modbus SCADA, che lasciano attiva la comunicazione su Tor. Il codice del malware è molto simile alle versioni di BlackEnergy, il noto virus che è stato responsabile degli attacchi informatici in Ucraina. Difatti, stando a quanto comunicato dai ricercatori Cisco, è proprio da tale Nazione che sembra essersi propagato.
Per difendersi da VPNFilter, nel comunicato ufficiale, il team di sicurezza Cisco consiglia di resettare il router e di cambiare tutte le password predefinite. In aggiunta, viene suggerito vivamente di aggiornare il firmware. In questo modo, non appena i produttori risolveranno le vulnerabilità attaccate da VPNFilter, i dispositivi saranno al sicuro. Nel caso non si potesse aggiornare il router, perché magari non è più supportato dal produttore, sarebbe meglio sostituirlo, onde evitare di essere hackerati.
- Aggiornamento -
Di seguito trovate la lista presa da ZDnet dei dispositivi sensibii a VPNFilter:
- Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, and RT-N66U.
- D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, and DSR-1000N.
- Huawei: HG8245.
- Linksys: E1200, E2500, E3000 E3200, E4200, RV082, and WRVS4400N.
- Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, and STX5.
- Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, and UTM50.
- QNAP: TS251, TS439 Pro, and other QNAP NAS devices running QTS software.
- TP-Link: R600VPN, TL-WR741ND, and TL-WR841N.
- Ubiquiti: NSM2 and PBE M5.
- ZTE: ZXHN H108N.
Per testare se il vostro modem e vulnerabile a VPNFilter, la Symantec ha rilasciato un tool scaricabile dal sito:
http://www.symantec.com/filtercheck/