Consigli del FBI per salvare il Modem da VPNFilter

    Cresce l’allarme per l’attacco informatico condotto tramite malware VPNFilter. Fortunatamente la Cisco e la FBI hanno iniziato il contrattacco. Qualche accorgimento è necessario per proteggersi dato che questo malware ha ampie capacità distruttive e di spionaggio.

    VPNFilter ha infettato 500mila router in 54 paesi. Per eliminare l’infezione non basta spegnere il dispositivo.

    Dove arriva VPNFilter

    Il 23/05/2018 la Cisco’s Talos ha pubblicato l’analisi sul malware VPNFilter. Il codice e lo schema di diffusione fanno supporre che sia coinvolto il gruppo FancyBear. L’attacco potrebbe quindi rientrare nello schema schema diretto contro l’Ucraina. Nel suo genere è un piccolo pezzo d’arte che ha iniziato a diffondersi nel 2016. Testimonia come gli attacchi si siano spostati dai computer, sempre più protetti, verso i dispositivi IoT che sono connessi direttamente alla rete e spesso non hanno scudi efficaci.

    Che cos’è VPNFilter

    Secondo il bollettino della Talos si tratta di una mutazione del malware BlackEnergy. VPNFilter è malware modulare che opera in 3 fasi per prendere il controllo dei modem-router domestici (SOHO) e dei dispositivi NAS (supporti di memoria) collegati. Al momento non è noto come il malware individui la sua vittima. Una volta infettato il dispositivo si attivano i 3 moduli…

    1. Persistenza Impiantato direttamente nel firmware, questo modulo rinnova l’infezione anche in seguito a tentativi di rimozione superficiali e riavvio del dispositivo. E’ un interessante progresso nel settore del malware che colpisce gli IoT (internet delle cose). Malware precedenti si limitavano a scomparire dopo un riavvio. Invece VPNFilter ha una maggiore resilienza. Dopo essersi assicurato la sopravvivenza il malware passa a verificare la connettività tentando di scaricare un’immagine dal sito Photobucket. Se fallisce ripiega sul dominio toknowall.com che attualmente è stato sequestrato dal FBI. Fallendo anche in questo tentativo il malware si mette in attesa di istruzioni provenienti dall’esterno.
    2. Controllo da remoto Il secondo modulo del malware è la vera console di comando che sottomette il dispositivo al controllo di chi ci sta attaccando. Con un riavvio questo modulo viene disattivato.
    3. Spionaggio Il terzo compoenente è formato da una serie di plugin che si occupano di raccogliere (sniffare) i dati che transitano sulla connessione. Anche questo modulo viene disattivato riavviando il dispositivo.

    Cosa fare per proteggersi

    Dalla FBI arrivano le istruzioni per reagire alla minaccia di VPNFilter. Per prima cosa dobbiamo spegnere il modem-router. In questo modo l’infezione regredisce alla fase 1. Non abbiamo ancora risolto il problema. Poi dobbiamo resettare il dispositivo in modo da farlo tornare alle impostazioni ed al software di fabbrica. In fine scarichiamo ed installiamo gli aggiornamenti direttamente dal sito del produttore. Si spera che i produttori rilascino presto gli aggiornamenti di sicurezza per questa minaccia. Quindi reimpostiamo le nostre preferenze e attiviamo i protocolli difensivi disponibili. Intanto la Talos ha rilasciato più di 100 signature (identificativi di minaccia) per Snort. Inoltre ha reso disponibile la blacklist (lista di esclusione) dei domini/IP per tutti i sistemi Cisco. Sempre la Talos ha indicato un elenco parziale dei produttori a rischio: