VPNFilter, colpiti 500 mila router: obiettivo Champions League?

Il malware VPNFilter ha colpito potenzialmente 500 mila router, che sarebbero potuti diventare strumento per colpire la finale di Champions League: FBI e Cisco al lavoro sul problema.

500 mila router colpiti e una minaccia che porta la firma “Sofacy Group” (hacker di origine russa già noti anche come “apt28”, “sandworm”, “x-agent”, “pawn storm”, “fancy bear” e “sednit”): si tratta del malware ” VPNFilter “, cuore di una botnet dal grande potenziale su cui l’FBI ha messo mano con un primo intervento in grado di calmierarne le conseguenze. La scoperta è da accreditarsi ai ricercatori Talos, dai quali giungono ora tutti i dettagli relativi alla cooperazione in atto con Cisco ed FBI per fare in modo che nessuno possa attivare la botnet nel pieno del sua potenza di fuoco. Magari con un obiettivo preciso in mente, peraltro: molti indizi lasciano pensare che il mirino fosse già sulla finale di Champions League di Kiev.

VPNFilter: i router vulnerabili

VPNFilter è un malware multi-stage , una piattaforma modulare e versatile che agisce a vari livelli per ottimizzare la propria resilienza e la propria efficacia. Coinvolti dal problema i router Netgear, Linksys, Mikrotik e TP-Link , per i quali si consiglia anzitutto l’aggiornamento del firmware all’ultima versione. Questo secondo Symantec l’elenco dei router principalmente vulnerabili:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS per Cloud Core Routers: versioni 1016, 1036, e 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

Come funziona VPNFilter

In particolare v’è un primo livello (in grado di resistere anche ad un reboot) che funge da elemento base, in grado di rigenerare la minaccia nel caso in cui un semplice riavvio del dispositivo vada a minarne le attività. Il funzionamento di questo primo livello è strettamente legato al sito Photobucket.com, dal quale il device tenta di scaricare una immagine: all’interno di quest’ultima, analizzando i numeri che compongono i dati GPS all’interno delle informazioni EXIF, VPNFilter è in grado di estrapolare uno specifico indirizzo IP. Nel caso in cui fallisse l’accesso a Photobucket.com, il malware ha pronta una via parallela di sicurezza, identificata nel sito toknowall.com presso il quale viene attivato medesimo procedimento.

Il secondo livello (che un reboot è in grado di sterilizzare) è in grado di catturare informazioni, eseguire comandi e gestire il dispositivo; addirittura è in grado potenzialmente di sovrascrivere parte del firmware rendendo inutilizzabile lo stesso device: quest’ultimo aspetto dimostra come il malware sia in grado di disabilitare in modo permanente il router, eliminando così ogni traccia del passaggio del malware stesso togliendo al contempo ogni possibilità di accesso al Web. Il funzionamento a questo stadio è legato ad un server esterno dal quale si attendono istruzioni.

Sussiste inoltre un terzo livello , modulato in plugin dedicati, sul quale ancora sono attive le ricerche: alcuni moduli sono in grado di sottrarre credenziali di accesso, altri fungono da packet sniffer, ma i ricercatori Talos si dicono certi dell’esistenza di altri plugin ad oggi non ancora individuati.

Come funziona VPNFilter

La maggior parte delle infezioni legate a VPNFilter è in Ucraina , cosa che ha lasciato immaginare la possibilità di un attacco su larga scala ideato per essere scagliato contro il paese che nei prossimi giorni si appresta ad ospitare la finale della Champions League . Ponendo un filtro sulle chiamate esterne del malware, l’FBI ritiene ora di aver posto un primo ostacolo a questo tipo di minaccia, ma consiglia tutti gli utenti potenzialmente infettati (coinvolte circa 54 nazioni in tutto il mondo) di riavviare il router per divincolarsi quantomeno dai livelli 2 e 3 del malware.

L’origine russa dell’infezione e la concentrazione ucraina dei dispositivi infetti sembra inserire questa nuova minaccia all’interno di un vecchio filone, secondo il quale all’origine del problema possa esserci una cyberguerra tra Russia e Ucraina per motivi che non hanno nulla a che vedere con i router, la Champions League o altro se non un braccio di ferro tra i due paesi. Il Cremlino ha sempre smentito, ma l’ennesimo indizio (non da ultimo, il malware sfrutta varie componenti già identificate nel precedente BlackEnergy scagliato nel 2015 proprio contro l’Ucraina) si aggiunge a quelli già disseminati negli anni nella storia delle minacce informatiche che hanno coinvolto più o meno direttamente le due nazioni.

Update del 28/05/2018

Questo lo statement ufficiale TP-Link sulla vicenda:

TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al link https://www.tp-link.com/download-center.html .

TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto alla pagina https://www.tp-link.com/faq-73.html .

TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link https://www.tp-link.com/it/support-contact.html .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ... scrive:
    Re: ciao
    Cert, il tasso del 2%, LOL... peccato che tu non abbia specificato 2% ogni quanto. (rotfl) Probabilmente 2% è il tasso giornaliero. (rotfl)Lo sai che si finisce in galera per quello che stai facendo, sì? :)
  • mamma preoccupat a scrive:
    figlio sovrappeso
    Mio figlio più grande è leggermente sovrappeso e il dottore dice che dovrebbe praticare uno sport.Ma io ho sentito che lo sport che si fa in palestra o nei campi di calcio può provocare infortuni.Quindi gli farei fare questi sport qua.Me li consigliate?
    • Risposta al commento scrive:
      Re: figlio sovrappeso
      - Scritto da: mamma preoccupat a
      Mio figlio più grande è leggermente sovrappeso e
      il dottore dice che dovrebbe praticare uno
      sport.
      Ma io ho sentito che lo sport che si fa in
      palestra o nei campi di calcio può provocare
      infortuni.
      Quindi gli farei fare questi sport qua.
      Me li consigliate?No.
    • pericoloso scrive:
      Re: figlio sovrappeso
      - Scritto da: mamma preoccupat a
      Mio figlio più grande è leggermente sovrappeso e
      il dottore dice che dovrebbe praticare uno
      sport.
      Ma io ho sentito che lo sport che si fa in
      palestra o nei campi di calcio può provocare
      infortuni.
      Quindi gli farei fare questi sport qua.
      Me li consigliate?no puo' provocare il tunnel carpale, radiale e cubitale
  • Sg@bbio scrive:
    Pubblicità?
    Questo articolo è di una pubblicità occulta incredibile.
    • SoS gabibbo scrive:
      Re: Pubblicità?
      - Scritto da: Sg@bbio
      Questo articolo è di una pubblicità occulta
      incredibile.chiamiamo il Gabibbo
    • ben10 scrive:
      Re: Pubblicità?
      - Scritto da: Sg@bbio
      Questo articolo è di una pubblicità occulta
      incredibile.considera pure di togliere l'eufemismo, "occulta"
      • Sg@bbio scrive:
        Re: Pubblicità?
        - Scritto da: ben10
        - Scritto da: Sg@bbio

        Questo articolo è di una pubblicità occulta

        incredibile.

        considera pure di togliere l'eufemismo, "occulta"Hai ragione.
  • comanda la pecunia scrive:
    Il calcio non ha padroni. Gli eSports sì
    https://esports.gazzetta.it/senza-categoria/24-04-2018/il-calcio-non-ha-padroni-gli-esports-si-42987
    • Sg@bbio scrive:
      Re: Il calcio non ha padroni. Gli eSports sì
      - Scritto da: comanda la pecunia
      https://esports.gazzetta.it/senza-categoria/24-04-Il calcio professionale non ha padrone, eh ? :D
      • comanda la pecunia scrive:
        Re: Il calcio non ha padroni. Gli eSports sì
        - Scritto da: Sg@bbio
        - Scritto da: comanda la pecunia


        https://esports.gazzetta.it/senza-categoria/24-04-

        Il calcio professionale non ha padrone, eh ? :Dnon hai letto l'articolo
  • saltosalto scrive:
    forse OT sui salti
    Ciao, scusate, ma nei giochi FPS quando si gioca online, vi par normale che si possano fare tutti quei salti per non farsi colpire dagli avversari? Voglio dire, capisco il divertimento, capisco che magari non deve diventare un simulatore ma rimanere divertente ecc, ma a me tutti quei salti mentre inseguo uno mi fanno un po' schifoRobe tipo questo, qua salta lui, di solito saltano gli altri ma non ho voglia di cercare altri videohttps://youtu.be/SS7xKlgUE7E?t=469
    • comanda la pecunia scrive:
      Re: forse OT sui salti
      fornite e' roba per bimbiminkia sono giochi facilitati per fare in modo da distribuire contentini a tutti e renderli accessibili anche ad i piu' piccoli cosa fatta per aumentare gli incassi, anche tutti gli altri generi hanno subito la stessa sorte, non si rendono conto della XXXXX che giocano perché hanno iniziato a giocare propio con quel letame,se vieni continuamente massacrato 20 a 0 a Doom od Unreal e' ovvio che prima o poi abbandoni
      • saltosalto scrive:
        Re: forse OT sui salti
        - Scritto da: comanda la pecunia
        fornite e' roba per bimbiminkia sono giochi
        facilitati per fare in modo da distribuire
        contentini a tutti e renderli accessibili anche
        ad i piu' piccoli cosa fatta per aumentare gli
        incassi, anche tutti gli altri generi hanno
        subito la stessa sorte, non si rendono conto
        della XXXXX che giocano perché hanno iniziato a
        giocare propio con quel letame,se vieni
        continuamente massacrato 20 a 0 a Doom od Unreal
        e' ovvio che prima o poi
        abbandoniSi ma anche doom o unreal puoi saltare continuamente mi sembra, per il resto concordo. Non so, io ho giocato a di tutto un po' dagli anni 80 ad adesso, sinceramente preferisco le modalità single player, mi sono divertito in multiplayer solo in occasione di qualche lan party con gli amici dove ti diverti a prenderti in giro o a mangiere e bere fino l'alba, ma multiplayer con perfetti sconosciuti con giochi poco spessore proprio non riescono a divertirmi.
    • ... scrive:
      Re: forse OT sui salti
      Mai giocato a FPS multiplayer ma concordo, il video che hai postato è demenziale. Oltretutto i salti sono pure palesemente ridicoli e fisicamente impossibili visto che il personaggio rimane in aria molto più a lungo di quanto dovrebbe.
Chiudi i commenti