VPNFFilter e PMI | Mancusi Office Automation s.r.l. Mancusi Office Automation s.r.l.

VPNFilter : il Maleware che colpisce le PMI

Home / MOAblog / VPNFilter : il Maleware che colpisce le PMI

 

 

vpnfilter moa article
vpnfilter maleware moa article blog

VPNFILTER

Fu Cisco, nel 2018, a scoprire l'esistenza di questo maleware che ha infettato più di 500.000 dispositivi in 54 nazioni di tutto il mondo, con un focus particolare in Ucraina. La notizia circolò rapidamente per via della pericolosità del maleware. L'FBI fu in grado di bloccare l'attacco su larga scala, che sarebbe stato devastante, prima che l'hacker potesse trasmettere ordini ai dispositivi infettati. Proprio l'FBI ritiene che i creatori di questo potente maleware, in grado di rubare dati anche da connessioni che dovrebbero usare la crittografia e che inoltre contiene una funzione di autodistruzione progettata per disabilitare completamente un dispositivo infetto a comando, sia il gruppo di hacker russi chiamato Fancy Bear.

Oggi, si contano ancora 200.000 dispositivi vulnerabili a VPNFilter.

Cosa fa, Esattamente, VPNFilter ?

In parole semplici, VPNFilter sniffa i dati sulla rete connessa ad un dispositivo infetto, raccogliendo informazioni come password, nomi utenti, e altre credenziali, oltre che dati di controllo di reti industriali. Inoltre, rende il dispositivo infetto parte di una botnet che può usare come sorgente per degli attacchi che fanno uso delle informazioni rubate.

Sembra che sia stato progettato anche per colpire dispositivi di rete industriale, e controllare macchinari in fabbriche e magazzini. Per farlo, usa password di fabbrica e/o vulnerabilità note di software non aggiornati per infettare i dispositivi, ma questo dettaglio rimane solo una ipotesi. Viene comunque consigliato fortemente di cambiare le password e aggiornare i software per tentare di contenere la diffusione di VPNFilter.

Come si installa nei dispositivi ?

Questo Software Maligno è particolarmente versatile, e infetta le macchine in 3 fasi :

Nella prima fase, VPNFilter aggiunge del codice estraneo alla lista dei task controllati dal programma scheduler cron di Linux. Questo gli permette di rimanere sul dispositivo e reinfettarlo con gli altri stadi, poiché questi task si ripetono ad intervalli regolari, anche se questi vengono rimossi.

Nella fase due, che è quella principale del Maleware, VPNFilter include il codice di base che esegue tutte le sue funzioni principali (in alcune versioni anche quella di autodistruzione) ed esegue le istruzioni opzionali richieste nella fase 3.

Nell'ultima fase, VPNFilter installa vari moduli "plugin" che possono essere scaricati opzionalmente per eseguire compiti specifici, come spiare il traffico di dispositivi industriali (Modbus SCADA), intercettare sessioni criptate per cercare di passarle in chiaro, usare software Tor per comunicare con il "dark web" in maniera criptata, etc. etc.
Questa è la fase potenzialmente più pericolosa, per via della quantità di plugin che può installare e lanciare per creare danni.

Che cosa fare in caso di infezione ?

Cisco Systems e Symantec suggeriscono i reset di fabbrica forzati degli apparecchi infetti, oppure di acquistare pacchetti di sicurezza come quello chiamato "Sicurezza senza Pensieri" sviluppato proprio da Cisco, che si può trovare qui e che comprende soluzioni su misura per le PMI che siano vulnerabili ad attacchi di questo tipo.

LISTA DEI DISPOSITIVI VULNERABILI

Si ritiene che l'infezione iniziale di VPNFilter possa solo avvenire con dispositivi che girano un firmware integrato basato su Busybox o Linux, compilati per un certo numero di processori, ma non il Linux standard che gira sui PC.

Di seguito, la lista dei dispositivi vulnerabili a VPNFilter.

Dispositivi Asus:

RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U

Dispositivi D-Link:

DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N

Dispositivi Huawei:

HG8245

Dispositivi Linksys:

E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N

Dispositivi Mikrotik:

CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Mikrotik RouterOS, versioni fino alla 6.38.5 oppure fino alla 6.37.5 a seconda della release

Dispositivi Netgear:

DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50

Dispositivi QNAP:

TS251
TS439 Pro
Altri NAS QNAP che girano il software QTS

Dispositivi TP-Link:

R600VPN
TL-WR741ND
TL-WR841N

Dispositivi Ubiquiti:

NSM2
PBE M5

Dispositivi Upvel:

Elenco al momento sconosciuto

Dispositivi ZTE:

ZXHN H108N

Hai trovato utile questo articolo? Condividilo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *