Sicurezza

Come individuare il malware di VPNFilter prima di distruggere il router

Come individuare il malware di VPNFilter prima di distruggere il router / Sicurezza

Router, dispositivo di rete e malware di Internet of Things sono sempre più comuni. La maggior parte si concentra sull'infettare i dispositivi vulnerabili e aggiungerli a potenti botnet. I dispositivi Router e Internet of Things (IoT) sono sempre accesi, sempre online e in attesa di istruzioni. Foraggio perfetto per botnet, quindi.

Ma non tutti i malware sono uguali.

VPNFilter è una minaccia di malware distruttivo per router, dispositivi IoT e persino alcuni dispositivi NAS (network-attached storage). Come si controlla l'infezione da malware di VPNFilter? E come puoi pulirlo? Diamo un'occhiata più da vicino a VPNFilter.

Che cos'è VPNFilter?

VPNFilter è una sofisticata variante modulare di malware che si rivolge principalmente ai dispositivi di rete di un'ampia gamma di produttori, nonché di dispositivi NAS. VPNFilter è stato inizialmente trovato su dispositivi di rete Linksys, MikroTik, NETGEAR e TP-Link, così come su dispositivi NAS QNAP, con circa 500.000 infezioni in 54 paesi.

Il team che ha scoperto VPNFilter, Cisco Talos, ha recentemente aggiornato i dettagli relativi al malware, indicando che le apparecchiature di rete di produttori come ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE stanno ora mostrando infezioni VPNFilter. Tuttavia, al momento della scrittura, non sono interessati i dispositivi di rete Cisco.

Il malware è diverso dalla maggior parte degli altri malware incentrati sull'IoT, poiché persiste dopo un riavvio del sistema, rendendo difficile l'eliminazione. I dispositivi che utilizzano le loro credenziali di accesso predefinite o con vulnerabilità note zero-day che non hanno ricevuto gli aggiornamenti del firmware sono particolarmente vulnerabili.

Cosa fa VPNFilter?

Quindi, VPNFilter è un “piattaforma multi-stadio e modulare” ciò può causare danni distruttivi ai dispositivi. Inoltre, può anche servire come una minaccia di raccolta dati. VPNFilter funziona in diverse fasi.

Fase 1: VPNFilter Fase 1 stabilisce una testa di ponte sul dispositivo, contattando il suo server di comando e controllo (C & C) per scaricare moduli aggiuntivi e attendere le istruzioni. La Fase 1 dispone inoltre di più ridondanze integrate per l'individuazione di C & C Stage 2 in caso di modifica dell'infrastruttura durante la distribuzione. Anche il malware VPNFilter di Stage 1 è in grado di sopravvivere a un riavvio, rendendolo una minaccia robusta.

Fase 2: VPNFilter Stage 2 non persiste durante il riavvio, ma ha una gamma più ampia di funzionalità. Stage 2 può raccogliere dati privati, eseguire comandi e interferire con la gestione dei dispositivi. Inoltre, ci sono diverse versioni di Stage 2 in natura. Alcune versioni sono dotate di un modulo distruttivo che sovrascrive una partizione del firmware del dispositivo, quindi si riavvia per rendere il dispositivo inutilizzabile (fondamentalmente il malware crea il router, l'IoT o il dispositivo NAS).

Fase 3: I moduli di VPNFilter Stage 3 funzionano come plug-in per Stage 2, estendendo le funzionalità di VPNFilter. Un modulo agisce come uno sniffer di pacchetti che raccoglie il traffico in entrata sul dispositivo e ruba le credenziali. Un altro permette al malware Stage 2 di comunicare in modo sicuro usando Tor. Cisco Talos ha anche trovato un modulo che inietta contenuti dannosi nel traffico che passa attraverso il dispositivo, il che significa che l'hacker può fornire ulteriori exploit ad altri dispositivi connessi attraverso un router, IoT o dispositivo NAS.

Inoltre, moduli VPNFilter “consentire il furto delle credenziali del sito Web e il monitoraggio dei protocolli SCADA Modbus.”

Meta condivisione foto

Un'altra caratteristica interessante (ma non ancora scoperta) del malware VPNFilter è l'uso di servizi di condivisione di foto online per trovare l'indirizzo IP del proprio server C & C. L'analisi di Talos ha rilevato che il malware punta a una serie di URL di Photobucket. Il malware scarica la prima immagine nella galleria dei riferimenti URL ed estrae un indirizzo IP del server nascosto all'interno dei metadati dell'immagine.

L'indirizzo IP “viene estratto da sei valori interi per latitudine e longitudine GPS nelle informazioni EXIF.” Se fallisce, il malware di Stage 1 ritorna a un dominio normale (toknowall.com - più su questo sotto) per scaricare l'immagine e tentare lo stesso processo.

Sniffing di pacchetti mirati

Il rapporto aggiornato di Talos ha rivelato alcune interessanti informazioni sul modulo di sniffing dei pacchetti VPNFilter. Piuttosto che mettere a soqquadro tutto, ha un insieme piuttosto rigido di regole che mirano a tipi specifici di traffico. In particolare, il traffico proveniente da sistemi di controllo industriale (SCADA) che si connettono utilizzando VPN TP-Link R600, connessioni a un elenco di indirizzi IP predefiniti (che indicano una conoscenza avanzata di altre reti e traffico desiderabile), nonché pacchetti di dati di 150 byte o più grande.

Craig William, senior technology leader e global outreach manager di Talos, ha dichiarato ad Ars, “Stanno cercando cose molto specifiche. Non stanno cercando di raccogliere più traffico possibile. Stanno cercando certe cose molto piccole come credenziali e password. Non abbiamo molte informazioni su quell'altro che sembra incredibilmente mirato e incredibilmente sofisticato. Stiamo ancora cercando di capire chi stessero usando quello.”

Da dove proviene VPNFilter?

Si pensa che VPNFilter sia il lavoro di un gruppo di hacker sponsorizzato dallo stato. L'iniziale ondata di infezione di VPNFilter è stata avvertita prevalentemente in tutta l'Ucraina, le dita iniziali hanno indicato le impronte digitali sostenute dalla Russia e il gruppo di hacker, Fancy Bear.

Tuttavia, tale è la sofisticazione del malware, non esiste una genesi chiara e nessun gruppo di hacker, nazione-stato o altro, si è fatto avanti per rivendicare il malware. Date le dettagliate regole del malware e il targeting di SCADA e di altri protocolli di sistema industriale, un attore di uno stato nazionale sembra molto probabile.

Indipendentemente da ciò che penso, l'FBI crede che VPNFilter sia una creazione di Fancy Bear. Nel maggio 2018, l'FBI ha sequestrato un dominio ToKnowAll.com, che si pensava fosse stato utilizzato per installare e gestire malware VPNFilter di Stage 2 e Stage 3. Il sequestro del dominio ha certamente contribuito a fermare la diffusione immediata di VPNFilter, ma non ha reciso l'arteria principale; la SBU ucraina ha ritirato un attacco VPNFilter su un impianto di trattamento chimico nel luglio 2018, per uno.

VPNFilter ha anche somiglianze con il malware BlackEnergy, un Trojan APT in uso contro una vasta gamma di obiettivi ucraini. Anche in questo caso, benché questo sia lontano da prove complete, il targeting sistemico per l'Ucraina deriva principalmente da gruppi di hacker con legami russi.

Sono infetto da VPNFilter?

È probabile che il tuo router non stia nascondendo il malware VPNFilter. Ma è sempre meglio prevenire che curare:

  1. Controlla questo elenco per il tuo router. Se non sei nella lista, va tutto bene.
  2. È possibile accedere al sito di verifica di Symantec VPNFilter. Controlla la casella termini e condizioni, quindi premi il tasto Esegui controllo VPNFilter pulsante nel mezzo. Il test termina in pochi secondi.

Sono infetto da VPNFilter: cosa devo fare?

Se Symantec VPNFilter Check conferma che il router è infetto, si ha una chiara linea di condotta.

  1. Reimpostare il router, quindi eseguire di nuovo il controllo VPNFilter.
  2. Ripristina il router alle impostazioni di fabbrica.
  3. Scarica il firmware più recente per il tuo router e completa un'installazione del firmware pulita, preferibilmente senza che il router effettui una connessione online durante il processo.

Inoltre, è necessario completare la scansione completa del sistema su ciascun dispositivo collegato al router infetto.

Devi sempre cambiare le credenziali di accesso predefinite del tuo router, così come tutti i dispositivi IoT o NAS (i ​​dispositivi IoT non rendono facile questa attività Perché l'Internet delle cose è il più grande incubo della sicurezza Perché l'Internet delle cose è il più grande incubo della sicurezza Un giorno, arrivi a casa dal lavoro per scoprire che il tuo sistema di sicurezza domestica abilitato al cloud è stato violato. Come è potuto accadere? Con Internet of Things (IoT), potresti scoprire il modo più difficile. . Inoltre, mentre ci sono prove che VPNFilter può eludere alcuni firewall, avendo uno installato e correttamente configurato 7 semplici suggerimenti per proteggere il router e la rete Wi-Fi in pochi minuti 7 semplici suggerimenti per proteggere il router e la rete Wi-Fi in pochi minuti e origliare sul traffico Wi-Fi, rubando le password e i numeri delle carte di credito? Sapresti anche se qualcuno fosse? Probabilmente no, quindi proteggi la tua rete wireless con questi 7 semplici passaggi. Leggi altro ti aiuterà a tenere fuori dalla tua rete molte altre cose cattive.

Attenzione per il malware del router!

Il malware per router è sempre più comune. Il malware e le vulnerabilità IoT sono ovunque e, con il numero di dispositivi in ​​arrivo, peggiorerà solo. Il tuo router è il punto focale per i dati nella tua casa. Tuttavia, non riceve molta attenzione alla sicurezza degli altri dispositivi.

In poche parole, il tuo router non è sicuro come pensi 10 modi il tuo router non è sicuro come pensi 10 modi il tuo router non è sicuro come pensi Ecco 10 modi in cui il tuo router potrebbe essere sfruttato da hacker e drive- dai dirottatori wireless. Leggi di più .

Scopri di più su: Internet of Things, malware, sicurezza online, router.