Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware VPNFilter attacca router e dispositivi NAS

IoT  router  VPNFilter   giovedì, 24 maggio 2018

I ricercatori di Cisco Talos hanno lavorato negli ultimi mesi a stretto contatto con altri partner nei settori pubblico e privato nell’analisi di un malware modulare molto avanzato, battezzato VPNFilter, che prende di mira dispositivi IoT come router in ambito SoHo (Small Office Home Office) e apparati NAS.

A causa della complessità e dell’ampiezza dell’infrastruttura a supporto di questo malware, gli analisti ritengono che gli attori responsabili di questa minaccia siano con molta probabilità sponsorizzati da una o più nazioni. Stando a quanto riportato da Cisco Talos in un post sul loro blog, la ricerca non è ancora terminata, ma il recente incremento dell’attività di questo malware e la vastità delle infezioni rilevate hanno convinto i ricercatori a rendere pubblici i dettagli finora scoperti su questa minaccia.

VPNFilter presenta delle similarità, anche a livello di codice, con il malware BlackEnergy, responsabile dell’attacco alla rete elettrica in Ucraina della fine del 2015. A partire dai primi di maggio, anche VPNFilter ha iniziato a colpire con particolare intensità obiettivi in Ucraina, utilizzando un’infrastruttura di comando e controllo (C&C) dedicata.

VPNFilter attacca dispositivi di diversi produttori, tra cui router Linksys, MikroTik, Netgear e TP-Link e apparati NAS di QNAP. I ricercatori hanno stimato che attualmente il numero complessivo di dispositivi infetti da VPNFilter ammonta a circa 500.000 in 54 nazioni diverse. Dalle informazioni in possesso del CERT Nazionale, l’Italia non risulta al momento coinvolta in maniera significativa in questa campagna di infezioni.

Di seguito una lista non esaustiva dei dispositivi affetti:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: versioni 1016, 1036 e 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Altri dispositivi NAS QNAP con sistema operativo QTS
  • TP-Link R600VPN

Il vettore di infezione non è stato individuato con certezza, ma si presume che il malware sfrutti vulnerabilità note dei dispositivi per penetrare al loro interno, facendo leva anche sul fatto che queste tipologie di apparati sono spesso installati in punti perimetrali della rete e non sono protetti da soluzioni antivirus o da sistemi di intrusion detection.

VPNFilter è un malware modulare, multi-stadio e polivalente, con funzionalità sia per il cyber-spionaggio e la raccolta di informazioni, sia per attacchi informatici distruttivi.

Una volta compromesso un dispositivo, VPNFilter è in grado di controllare il traffico di rete in transito allo scopo di intercettare le credenziali di siti Web e di monitorare le connessioni che utilizzano il protocollo Modbus per la comunicazione tra dispositivi elettronici industriali in ambito ICS/SCADA. Inoltre, questo malware è in grado di rendere i dispositivi attaccati inutilizzabili. Questa funzionalità può essere attivata dagli autori del malware sia per un singolo dispositivo bersaglio, sia su larga scala.

I ricercatori hanno osservato almeno tre stadi di questo malware:

  • Lo stadio 1 rappresenta il modulo persistente di VPNFilter: è in grado di sopravvivere al riavvio del dispositivo e sfrutta un’infrastruttura C&C ridondante e resiliente dalla quale scarica il successivo stadio del malware.
  • Lo stadio 2 di VPNFilter implementa le funzioni di raccolta di file, esecuzione di comandi, esfiltrazione di dati e gestione del dispositivo. Alcune varianti di questo modulo sono in grado di sovrascrivere porzioni significative del firmware del dispositivo e di riavviarlo, rendendolo di fatto inutilizzabile.
  • Lo stadio 3 è rappresentato da svariati plugin che aggiungono funzionalità allo stadio 2. Sono stati individuati finora due diversi plugin, uno con funzioni di packet sniffer per l’intercettazione del traffico di rete e l’altro per la comunicazione con i server C&C attraverso la rete TOR.

Gli esperti di Cisco Talos ritengono che possano essere sviluppati, o che già esistano, altri plugin che consentano a VPNFilter di sfruttare altre vulnerabilità e debolezze della rete per diffondersi ulteriormente e compiere altre azioni malevole.

La natura dei dispositivi coinvolti rende molto difficile difendersi da questa minaccia. La maggior parte di questi sono connessi direttamente ad Internet e non sono protetti in alcun modo da sistemi o soluzioni software di sicurezza. Spesso questi dispositivi presentano vulnerabilità note e non vengono aggiornati dagli utenti o dai gestori della rete.

Per limitare i rischi derivanti da questo tipo di minacce, si raccomanda agli utenti dei dispositivi potenzialmente vulnerabili di verificare periodicamente presso i rispettivi produttori la presenza di aggiornamenti del firmware e di applicarli al più presto.

In caso di infezione da parte del malware VPNFilter, si suggerisce di riavviare il dispositivo per eliminare, almeno temporaneamente, la presenza dei moduli non persistenti del malware (stadio 2 e 3). Solamente il ripristino del dispositivo alle impostazioni di fabbrica può con relativa certezza eliminare completamente questo malware.

Prima di connetterlo di nuovo alla rete è essenziale aggiornare il dispositivo con le patch di sicurezza più recenti messe a disposizione dal produttore, modificare le credenziali di accesso e disattivare la funzionalità di gestione da remoto, qualora presente.

Il post originale di Cisco Talos contiene un’analisi più dettagliata di VPNFilter, inclusi svariati indicatori di compromissione (IoC).

Notizie correlate

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

Più di 100.000 router compromessi dal malware GhostDNS

5 ottobre 2018

I ricercatori di Qihoo 360 hanno scoperto una campagna di diffusione del malware GhostDNS che modifica le impostazioni del DNS per dirottare il traffico di router residenziali verso pagine Web malevole.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto