Come individuare VPNFilter malware prima che distrugga il router
Annuncio pubblicitario
Il malware per router, dispositivi di rete e Internet of Things è sempre più comune. La maggior parte si concentra sull'infezione dei dispositivi vulnerabili e sull'aggiunta a potenti botnet. I dispositivi Router e Internet of Things (IoT) sono sempre accesi, sempre online e in attesa di istruzioni. Perfetto foraggio botnet, quindi.
Ma non tutti i malware sono uguali.
VPNFilter è una minaccia di malware distruttiva per router, dispositivi IoT e persino alcuni dispositivi NAS (Network Attached Storage). Come si verifica un'infezione da malware VPNFilter? E come puoi ripulirlo? Diamo un'occhiata più da vicino a VPNFilter.
Che cos'è VPNFilter?
VPNFilter è una sofisticata variante di malware modulare che si rivolge principalmente ai dispositivi di rete di una vasta gamma di produttori, nonché ai dispositivi NAS. VPNFilter è stato inizialmente trovato su dispositivi di rete Linksys, MikroTik, NETGEAR e TP-Link, nonché su dispositivi NAS QNAP, con circa 500.000 infezioni in 54 paesi.
Il team che ha scoperto VPNFilter, Cisco Talos, ha recentemente aggiornato i dettagli relativi al malware, indicando che le apparecchiature di rete di produttori come ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE stanno mostrando infezioni VPNFilter. Tuttavia, al momento della scrittura, nessun dispositivo di rete Cisco è interessato.
Il malware è diverso dalla maggior parte degli altri malware incentrati sull'IoT perché persiste dopo il riavvio del sistema, rendendo difficile l'eradicazione. I dispositivi che utilizzano le credenziali di accesso predefinite o con vulnerabilità note zero-day che non hanno ricevuto aggiornamenti del firmware sono particolarmente vulnerabili.
Cosa fa VPNFilter?
Pertanto, VPNFilter è una "piattaforma modulare multi-stadio" che può causare danni distruttivi ai dispositivi. Inoltre, può anche fungere da minaccia per la raccolta di dati. VPNFilter funziona in più fasi.
Fase 1: VPNFilter Fase 1 stabilisce un beachhead sul dispositivo, contattando il suo server di comando e controllo (C&C) per scaricare moduli aggiuntivi e attendere istruzioni. La fase 1 ha anche più ridondanze integrate per individuare i C&C della fase 2 in caso di modifica dell'infrastruttura durante l'implementazione. Il malware Stage 1 VPNFilter è anche in grado di sopravvivere a un riavvio, rendendolo una solida minaccia.
Fase 2: VPNFilter Fase 2 non persiste attraverso un riavvio, ma viene fornito con una gamma più ampia di funzionalità. La fase 2 può raccogliere dati privati, eseguire comandi e interferire con la gestione dei dispositivi. Inoltre, esistono diverse versioni di Stage 2 in natura. Alcune versioni sono dotate di un modulo distruttivo che sovrascrive una partizione del firmware del dispositivo, quindi si riavvia per rendere il dispositivo inutilizzabile (il malware in sostanza blocca il router, l'IoT o il dispositivo NAS).
Stage 3: VPNFilter I moduli Stage 3 funzionano come plug-in per Stage 2, estendendo la funzionalità di VPNFilter. Un modulo funge da sniffer di pacchetti che raccoglie il traffico in entrata sul dispositivo e ruba le credenziali. Un altro consente al malware Stage 2 di comunicare in modo sicuro utilizzando Tor. Cisco Talos ha anche trovato un modulo che immette contenuti dannosi nel traffico che passa attraverso il dispositivo, il che significa che l'hacker può fornire ulteriori exploit ad altri dispositivi collegati tramite un router, IoT o dispositivo NAS.
Inoltre, i moduli VPNFilter "consentono il furto delle credenziali del sito Web e il monitoraggio dei protocolli Modbus SCADA".
Meta di condivisione foto
Un'altra caratteristica interessante (ma non scoperta di recente) del malware VPNFilter è l'uso di servizi di condivisione di foto online per trovare l'indirizzo IP del suo server C&C. L'analisi Talos ha rilevato che il malware punta a una serie di URL Photobucket. Il malware scarica la prima immagine nella galleria facendo riferimento all'URL ed estrae un indirizzo IP del server nascosto all'interno dei metadati dell'immagine.
L'indirizzo IP "viene estratto da sei valori interi per latitudine e longitudine GPS nelle informazioni EXIF". In caso contrario, il malware Stage 1 ritorna a un dominio normale (toknowall.com — più su questo sotto) per scaricare l'immagine e provare lo stesso processo.
Sniffing mirato dei pacchetti
Il rapporto Talos aggiornato ha rivelato alcuni spunti interessanti sul modulo di sniffing dei pacchetti VPNFilter. Invece di aspirare tutto, ha una serie di regole piuttosto rigide che mirano a tipi specifici di traffico. In particolare, il traffico proveniente da sistemi di controllo industriale (SCADA) che si connettono tramite VPN TP-Link R600, connessioni a un elenco di indirizzi IP predefiniti (che indica una conoscenza avanzata di altre reti e traffico desiderabile), nonché pacchetti di dati di 150 byte o più grande.
Craig William, senior leader tecnologico e manager globale di Talos, ha dichiarato ad Ars: “Stanno cercando cose molto specifiche. Non stanno cercando di raccogliere il maggior traffico possibile. Stanno cercando alcune cose molto piccole come credenziali e password. Non abbiamo molte informazioni su questo, a parte il fatto che sembra incredibilmente mirato e incredibilmente sofisticato. Stiamo ancora cercando di capire su chi lo stessero usando. "
Da dove proviene VPNFilter?
Si pensa che VPNFilter sia il lavoro di un gruppo di hacker sponsorizzato dallo stato. Che l'iniziale aumento dell'infezione da VPNFilter si sia verificato principalmente in tutta l'Ucraina, le dita iniziali hanno indicato le impronte digitali sostenute dalla Russia e il gruppo di hacking, Fancy Bear.
Tuttavia, tale è la sofisticazione del malware che non esiste una chiara genesi e nessun gruppo di hacker, stato nazionale o altro, si è fatto avanti per rivendicare il malware. Date le regole dettagliate sul malware e il targeting di SCADA e altri protocolli di sistema industriale, un attore di stato-nazione sembra molto probabilmente.
Indipendentemente da ciò che penso, l'FBI crede che VPNFilter sia una creazione di Fancy Bear. Nel maggio 2018, l'FBI ha sequestrato un dominio — ToKnowAll.com — che si pensava fosse stato utilizzato per installare e comandare malware VPN 2 Stage 2 e Stage 3. Il sequestro del dominio ha sicuramente contribuito a fermare l'immediata diffusione di VPNFilter, ma non ha reciso l'arteria principale; la SBU ucraina ha ritirato un attacco VPNFilter contro un impianto di trattamento chimico nel luglio 2018, per esempio.
VPNFilter ha anche somiglianze con il malware BlackEnergy, un trojan APT in uso contro una vasta gamma di obiettivi ucraini. Ancora una volta, sebbene ciò sia lungi dall'essere una prova completa, il targeting sistemico dell'Ucraina deriva principalmente da gruppi di hacker con legami russi.
Sono infetto da VPNFilter?
È probabile che il tuo router non stia nascondendo il malware VPNFilter. Ma è sempre meglio prevenire che curare:
- Controlla questo elenco per il tuo router. Se non sei nella lista, va tutto bene.
- Puoi visitare il sito di Symantec VPNFilter Check. Seleziona la casella termini e condizioni, quindi premi il pulsante Esegui controllo VPNFilter nel mezzo. Il test si completa in pochi secondi.
Sono infetto da VPNFilter: cosa devo fare?
Se Symantec VPNFilter Check conferma che il tuo router è infetto, hai una chiara linea di condotta.
- Ripristina il router, quindi esegui nuovamente VPNFilter Check.
- Ripristina le impostazioni di fabbrica del router.
- Scarica l'ultimo firmware per il tuo router e completa un'installazione pulita del firmware, preferibilmente senza che il router stabilisca una connessione online durante il processo.
Inoltre, è necessario completare le scansioni complete del sistema su ciascun dispositivo collegato al router infetto.
Dovresti sempre cambiare le credenziali di accesso predefinite del tuo router, così come tutti i dispositivi IoT o NAS (i dispositivi IoT non rendono questo compito facile Perché Internet of Things è il più grande incubo per la sicurezza Perché Internet of Things è il più grande incubo per la sicurezza Un giorno, arrivi a casa dal lavoro per scoprire che il tuo sistema di sicurezza domestica abilitato per il cloud è stato violato. Come è potuto accadere? Con Internet of Things (IoT), potresti scoprire la strada difficile. Leggi di più) se possibile . Inoltre, mentre ci sono prove che VPNFilter può eludere alcuni firewall, ne ha installato uno e configurato correttamente 7 semplici consigli per proteggere il router e la rete Wi-Fi in pochi minuti 7 semplici consigli per proteggere il router e la rete Wi-Fi in pochi minuti Qualcuno sta annusando e intercettare il tuo traffico Wi-Fi, rubare password e numeri di carta di credito? Sapresti anche se qualcuno lo fosse? Probabilmente no, quindi proteggi la tua rete wireless con questi 7 semplici passaggi. Leggi di più ti aiuterà a tenere fuori dalla tua rete molte altre cose brutte.
Attenzione ai malware dei router!
Il malware del router è sempre più comune. Il malware e le vulnerabilità dell'IoT sono ovunque e, con il numero di dispositivi online, peggioreranno solo. Il router è il punto focale per i dati di casa. Tuttavia non riceve la stessa attenzione alla sicurezza di altri dispositivi.
In poche parole, il tuo router non è sicuro come pensi 10 modi in cui il tuo router non è sicuro come pensi 10 modi in cui il tuo router non è sicuro come pensi Qui ci sono 10 modi in cui il tuo router può essere sfruttato da hacker e drive- dai dirottatori wireless. Leggi di più .
Ulteriori informazioni su: Internet of Things, malware, sicurezza online, router.