Dr Commodore
LIVE

Router infetti, la Russia può far collassare internet!

La notizia arriva direttamente da Cisco Talos, l’intelligence dedicata agli attacchi informatici. Il nuovo malware, chiamato VPNFilter, rappresenta una delle minacce più gravi della storia e a oggi ha infettato più di mezzo milione di router, in 54 nazioni.

I ricercatori stanno lavorando al problema già da qualche mese, chiamando in aiuto anche esperti giuridici e aziende d’investigazione.

“Non abbiamo ancora completato le nostre ricerche, ma dati i recenti eventi abbiamo deciso di comunicare il problema al pubblico, in modo che gli utenti possano prendere le dovute precauzioni”.

Chi muove i fili?

Secondo Talos, dietro alla diffusione del VPNFilter ci sarebbero organizzazioni governative pronte a effettuare un attacco di massa. Si tratta chiaramente solo di supposizioni, ma considerando la similarità con il precedente malware BlackEnergy, adoperato in Ucraina, potrebbe essere stato sviluppato dagli stessi hacker.

Un dato più specifico c’è invece fornito dal Dipartimento di Giustizia americano, il quale comunica che il malware sia stato sviluppato da un gruppo di hacker russi. I criminali si sono già fatti conoscere in passato con diversi attacchi, che nel 2016 hanno visto come vittima anche l’Italia. Sono conosciuti con diversi nomi, quali Fancy Bear, Pawn Storm, APT28, Sandworm e Sofacy Group.

fancy bear

Logo di Fancy Bear

La possibile morte di Internet

No, non stiamo esagerando con le parole. Stiamo parlando di un malware che opera sui router che ci forniscono la connessione a Internet, anche quelli di marche blasonate come, ad esempio, Linksys, NETGEAR, TP-Link e MikroTik. In un ipotetico scenario in stile Mr. Robot, se il malware venisse adoperato in massa, potrebbe portare all’interruzione totale di Internet.

L’applicazione di VPNFilter, che avviene tramite una botnet, permette agli hacker non solo di sottrarre le credenziali dei siti web, ma anche di controllare il protocollo Modbus SCADA.
Per chi non lo sapesse, il protocollo di connessione Modbus viene impiegato dalla quasi totalità dei dispositivi elettronici industriali. Il protocollo consente la comunicazione tra un macchinario e un sistema SCADA (Supervisor Control And Data Acquisition), in altre parole un sistema informatico dedicato al monitoraggio e all’elaborazione dei dati rilevati.

Le potenzialità di questo malware, a detta dei ricercatori, sono distruttive e permettono agli hacker di infettare il dispositivo e renderlo inutilizzabile.

“l’attacco potrebbe anche avvenire in massa, causando l’isolamento da Internet di centinaia di migliaia di persone, ad oggi”

160822 Post fsociety 1

 

Come funziona

VPNFilter è un malware che opera principalmente su dispositivi con firmware Busybox e Linux. Ha la capacità di intaccare la struttura della CPU, modificare la configurazione della memoria non volatile e auto-aggiungersi a contrab, il job scheduler di Linux. Questo comporterebbe l’esecuzione automatica del malware sul dispositivo.

Dopo essersi insediato nella memoria del sistema, il malware scarica un’immagine dal sito Photobucket, o dal dominio toknowall.com come backup. Dall’immagine scaricata vengono poi estratti i metadati EXIF (Exchangeable Image File Format), per poter ricevere istruzioni su come procedere.

Nella seconda fase dell’attacco, VPNFilter prepara il dispositivo per il collegamento alla botnet, creando una cartella di moduli (/var/run/vpnfilterm) e una cartella di lavoro (var/run/vpnfilterw). Successivamente si esegue in loop , collegandosi al server C&C (quello che controlla la botnet) da cui riceve i comandi da eseguire.

Da questo momento il malware può:

  • Manipolare il router
  • Eseguire comandi SHELL
  • Creare una configurazione specifica per l’accesso anonimo al dispositivo
  • Cambiare configurazione dei proxy del router per manipolare la navigazione

Nella terza e ultima fase, il malware si serve di uno sniffer e un plugin di comunicazione per utilizzare il servizio di Tor su un router Cloak (progettato apposta per Tor). Lo sniffer è in grado di intercettare il traffico tramite un socket grezzo e permette all’hacker di registrare e monitorare il traffico del dispositivo

“VPNFilter è una minaccia molto pericolosa e difficile da contrastare. La sua elevata versatilità permette di trovare facilmente piattaforme alternative per condurre gli attacchi”.

Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.

Articoli correlati

Dr Commodore

Dr Commodore

Sono Dr Commodore, servono altre presentazioni?

Condividi