Come individuare il malware VPNFilter prima che distrugga il router

Come individuare il malware VPNFilter prima che distrugga il router

Router, dispositivo di rete e malware per Internet of Things sono sempre più comuni. La maggior parte si concentra sull'infezione di dispositivi vulnerabili e sulla loro aggiunta a potenti botnet. I router e i dispositivi Internet of Things (IoT) sono sempre accesi, sempre online e in attesa di istruzioni. Perfetto foraggio botnet, quindi.





Ma non tutti i malware sono uguali.



VPNFilter è una minaccia malware distruttiva per router, dispositivi IoT e persino alcuni dispositivi NAS (Network Attached Storage). Come si verifica un'infezione da malware VPNFilter? E come puoi pulirlo? Diamo un'occhiata più da vicino a VPNFilter.





Che cos'è VPNFilter?

VPNFilter è una sofisticata variante di malware modulare che si rivolge principalmente ai dispositivi di rete di un'ampia gamma di produttori, nonché ai dispositivi NAS. VPNFilter è stato inizialmente trovato sui dispositivi di rete Linksys, MikroTik, NETGEAR e TP-Link, nonché sui dispositivi QNAP NAS, con circa 500.000 infezioni in 54 paesi.

Il squadra che ha scoperto VPNFilter , Cisco Talos, dettagli aggiornati di recente riguardo al malware, indicando che le apparecchiature di rete di produttori come ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE stanno ora mostrando infezioni VPNFilter. Tuttavia, al momento della scrittura, nessun dispositivo di rete Cisco è interessato.



Il malware è diverso dalla maggior parte degli altri malware incentrati sull'IoT perché persiste dopo il riavvio del sistema, rendendone difficile l'eliminazione. I dispositivi che utilizzano le credenziali di accesso predefinite o con vulnerabilità note zero-day che non hanno ricevuto aggiornamenti del firmware sono particolarmente vulnerabili.

trasferire i messaggi di testo sul nuovo telefono

Cosa fa VPNFilter?

Quindi, VPNFilter è una 'piattaforma modulare multistadio' che può causare danni distruttivi ai dispositivi. Inoltre, può anche fungere da minaccia per la raccolta di dati. VPNFilter funziona in più fasi.



Fase 1: VPNFilter Stage 1 stabilisce una testa di ponte sul dispositivo, contattando il suo server di comando e controllo (C&C) per scaricare moduli aggiuntivi e attendere istruzioni. La Fase 1 ha anche più ridondanze integrate per individuare i C&C della Fase 2 in caso di modifica dell'infrastruttura durante la distribuzione. Il malware Stage 1 VPNFilter è anche in grado di sopravvivere a un riavvio, rendendolo una minaccia robusta.

Fase 2: VPNFilter Stage 2 non persiste dopo il riavvio, ma è dotato di una gamma più ampia di funzionalità. La fase 2 può raccogliere dati privati, eseguire comandi e interferire con la gestione dei dispositivi. Inoltre, ci sono diverse versioni di Stage 2 in natura. Alcune versioni sono dotate di un modulo distruttivo che sovrascrive una partizione del firmware del dispositivo, quindi si riavvia per rendere inutilizzabile il dispositivo (in pratica il malware blocca il router, l'IoT o il dispositivo NAS).



Fase 3: I moduli VPNFilter Stage 3 funzionano come plugin per Stage 2, estendendo le funzionalità di VPNFilter. Un modulo funge da sniffer di pacchetti che raccoglie il traffico in entrata sul dispositivo e ruba le credenziali. Un altro consente al malware Stage 2 di comunicare in modo sicuro utilizzando Tor. Cisco Talos ha anche trovato un modulo che inietta contenuti dannosi nel traffico che passa attraverso il dispositivo, il che significa che l'hacker può fornire ulteriori exploit ad altri dispositivi connessi tramite un router, IoT o un dispositivo NAS.

Inoltre, i moduli VPNFilter 'consentono il furto delle credenziali del sito Web e il monitoraggio dei protocolli Modbus SCADA'.

Meta di condivisione di foto

Un'altra caratteristica interessante (ma non scoperta di recente) del malware VPNFilter è il suo utilizzo di servizi di condivisione di foto online per trovare l'indirizzo IP del suo server C&C. L'analisi di Talos ha rilevato che il malware punta a una serie di URL Photobucket. Il malware scarica la prima immagine nella galleria a cui fa riferimento l'URL ed estrae un indirizzo IP del server nascosto nei metadati dell'immagine.

L'indirizzo IP 'viene estratto da sei valori interi per latitudine e longitudine GPS nelle informazioni EXIF'. Se fallisce, il malware Stage 1 ritorna a un dominio normale (toknowall.com---più su questo sotto) per scaricare l'immagine e tentare lo stesso processo.

Sniffing mirato di pacchetti

Il rapporto aggiornato di Talos ha rivelato alcune informazioni interessanti sul modulo di sniffing dei pacchetti VPNFilter. Piuttosto che aspirare tutto, ha una serie di regole abbastanza rigide che prendono di mira tipi specifici di traffico. Nello specifico, traffico proveniente da sistemi di controllo industriale (SCADA) che si collegano tramite VPN TP-Link R600, connessioni a un elenco di indirizzi IP predefiniti (che indicano una conoscenza avanzata di altre reti e traffico desiderabile), nonché pacchetti di dati di 150 byte o più grande.

Craig William, senior technology leader e global outreach manager di Talos, ha detto ad Ars , 'Stanno cercando cose molto specifiche. Non stanno cercando di raccogliere più traffico possibile. Stanno cercando cose molto piccole come credenziali e password. Non abbiamo molte informazioni su questo a parte il fatto che sembra incredibilmente mirato e incredibilmente sofisticato. Stiamo ancora cercando di capire su chi lo stessero usando.'

Da dove viene VPNFilter?

Si pensa che VPNFilter sia il lavoro di un gruppo di hacker sponsorizzato dallo stato. Che l'aumento iniziale dell'infezione di VPNFilter sia stato avvertito principalmente in tutta l'Ucraina, le prime dita hanno indicato le impronte digitali supportate dalla Russia e il gruppo di hacker, Fancy Bear.

Tuttavia, tale è la sofisticatezza del malware che non esiste una chiara genesi e nessun gruppo di hacker, stato nazionale o altro, si è fatto avanti per rivendicare il malware. Date le regole dettagliate sul malware e il targeting di SCADA e di altri protocolli di sistema industriale, sembra molto probabile un attore di uno stato-nazione.

Indipendentemente da ciò che penso, l'FBI crede che VPNFilter sia una creazione di Fancy Bear. Nel maggio 2018, l'FBI sequestrato un dominio ---ToKnowAll.com---che si pensava fosse stato utilizzato per installare e comandare il malware Stage 2 e Stage 3 VPNFilter. Il sequestro del dominio ha certamente contribuito a fermare l'immediata diffusione di VPNFilter, ma non ha reciso l'arteria principale; la SBU ucraina ha bloccato un attacco VPNFilter su un impianto di lavorazione chimica nel luglio 2018, per uno.

come eliminare la riga in parola

VPNFilter ha anche somiglianze con il malware BlackEnergy, un Trojan APT in uso contro un'ampia gamma di obiettivi ucraini. Ancora una volta, anche se questo è lontano dall'essere una prova completa, il targeting sistemico dell'Ucraina deriva principalmente da gruppi di hacker con legami russi.

Sono stato infettato da VPNFilter?

È probabile che il tuo router non stia ospitando il malware VPNFilter. Ma è sempre meglio prevenire che curare:

  1. Controlla questo elenco per il tuo router Se non sei nella lista, va tutto bene.
  2. Puoi andare al sito di Symantec VPNFilter Check. Controlla la casella dei termini e delle condizioni, quindi premi il pulsante Esegui VPNFilter Check pulsante al centro. Il test viene completato in pochi secondi.

Sono stato infettato da VPNFilter: cosa devo fare?

Se Symantec VPNFilter Check conferma che il tuo router è infetto, hai una linea d'azione chiara.

  1. Ripristina il router, quindi esegui nuovamente VPNFilter Check.
  2. Ripristina il router alle impostazioni di fabbrica.
  3. Scarica il firmware più recente per il tuo router e completa un'installazione pulita del firmware, preferibilmente senza che il router esegua una connessione online durante il processo.

Oltre a ciò, è necessario completare scansioni complete del sistema su ciascun dispositivo connesso al router infetto.

Dovresti sempre modificare le credenziali di accesso predefinite del tuo router, così come qualsiasi dispositivo IoT o NAS (i ​​dispositivi IoT non rendono questo compito facile) se possibile. Inoltre, mentre ci sono prove che VPNFilter può eludere alcuni firewall, averne uno installato e configurato correttamente ti aiuterà a tenere un sacco di altre brutte cose fuori dalla tua rete.

Attenzione ai malware del router!

Il malware del router è sempre più comune. Il malware e le vulnerabilità IoT sono ovunque e, con il numero di dispositivi online, non farà che peggiorare. Il tuo router è il punto focale per i dati nella tua casa. Eppure non riceve la stessa attenzione di sicurezza di altri dispositivi.

In poche parole, il tuo router non è sicuro come pensi.

Condividere Condividere Tweet E-mail Una guida per principianti all'animazione del discorso

L'animazione del discorso può essere una sfida. Se sei pronto per iniziare ad aggiungere dialoghi al tuo progetto, analizzeremo il processo per te.

Leggi Avanti Argomenti correlati
  • Sicurezza
  • Router
  • Sicurezza online
  • Internet delle cose
  • Malware
Circa l'autore Gavin Phillips(945 articoli pubblicati)

Gavin è l'editor junior per Windows e la spiegazione della tecnologia, un collaboratore regolare del podcast Really Useful e un revisore regolare del prodotto. Ha una laurea (Hons) in scrittura contemporanea con pratiche di arte digitale saccheggiata dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Ama abbondanti quantità di tè, giochi da tavolo e calcio.

come vedere chi guarda i tuoi video su instagram
Altro da Gavin Phillips

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti