Si allunga l’elenco dei router vittime del malware russo
Vpnfilter, testa di ponte di una botnet smantellata a maggio dall’Fbi, può colpire anche i dispositivi di networking di Asus, D-Link, Huawei e Zte. Il programma maligno, sottolinea Cisco Talos, è altamente distruttivo e può rendere inservibili le apparecchiature di rete.
Pubblicato il 07 giugno 2018 da Redazione
Non si ferma la propagazione del malware Vpnfilter. Scovato lo scorso mese dal team di sicurezza Cisco Talos, il programma maligno ha infettato inizialmente almeno 500mila dispositivi di rete, perlopiù router, in 54 Paesi del mondo (soprattutto in Ucraina). Le marche colpite sono risultate essere Linksys, Mikrotik, Netgear, Tp-Link (anche se la società ha smentito ufficialmente) e Qnap per quanto riguarda i Nas. Ma, secondo un nuovo blog post dell’azienda, all’elenco dei produttori coinvolti dalla minaccia andrebbero aggiunti anche Asus, D-Link, Huawei, Ubiquiti, Upvel e Zte. L’elenco completo è disponibile a questa pagina. Vpnfilter, orchestrato molto probabilmente dal gruppo di hacker russi Sofacy (noto anche come Apt28 o Fancy Bear), infetta i dispositivi, li inserisce in una botnet e permette ai pirati informatici di controllarli da remoto. Fortunatamente, i server command and control sono stati messi fuori uso a fine maggio dall’Fbi.
Ma il problema rimane, perché la potenza del malware è tale che le appliance potrebbero anche essere danneggiate in modo definitivo. I ricercatori di Cisco Talos hanno individuato due nuovi moduli di attacco, chiamati “ssler” e “dstr”. Il primo inietta contenuto maligno Javascript nel traffico Web elaborato dal device infetto. In questo modo i cybercriminali possono ampliare l’attacco in modo orizzontale su tutta la rete locale a cui è collegato il dispositivo, distribuendo payload anche ad altri oggetti connessi.
Inizialmente, gli esperti avevano chiesto ai possessori dei router infetti di effettuare un hard reset del terminale, impostando nuovamente le condizioni di fabbrica, e di disattivare l’accesso da remoto per prevenire nuovi attacchi. Ma il nuovo modulo “ssler” è persistente e rimane quindi nel device anche dopo il riavvio. “Dstr”, invece, è in grado di rendere completamente inservibile i terminali, “cancellando i file necessari per le normali operazioni”, si legge nel post.
Il modulo prova anche a eliminare le proprie tracce per rendersi invisibile in caso di indagini forensi. La risposta passa ora ai produttori delle apparecchiature di networking interessate dalla minaccia, che dovranno informare i propri clienti e fornire le giuste contromisure per arginare Vpnfilter, come ad esempio un aggiornamento del firmware.
MERCATI
