VPNFilter, uno dei malware per dispositivi IoT più complesso che sia mai stato individuato, torna a far parlare di sé ora che gli analisti di sicurezza hanno individuato una nuova attività infettiva mediante una variante potenziata con sette nuovi moduli operativi.
VPNFilter, per chi non lo sapesse, ha preso il nome dalla caratteristica di auto installarsi in una directory chiamata /vpnfilter/ e ha una capacità distruttiva importante perché se viene attivato è in grado di danneggiare o distruggere i dispositivi colpiti. Inoltre, permette di ispezionarne il traffico, rubarne i file e potenzialmente entrare nel network gestito da questi dispositivi.
I primi segnali della presenza del malware risalgono a qualche mese fa, anche se alcuni indizi lasciano presupporre che abbia iniziato a diffondersi già nel 2016.
Tenendone sotto controllo l’evoluzione, in collaborazione con le forze di polizia, gli analisti di Talos hanno rilevato che questa minaccia ha colpito più di 500.000 dispositivi in almeno 54 paesi: compromettendo dispositivi IoT Linksys, MikroTik, NETGEAR e TP-Link, oltre ad ASUS, D-Link, Huawei, Ubiquiti, UPVEL, e ZTE (l’elenco completo dei modelli colpiti è pubblicato sul blog Talos).
Si tratta di dispositivi che sono diffusi principalmente nelle Piccole e Medie Imprese, utilizzati dal personale e dai partner delle aziende per connettersi al loro network o per consentire agli utenti di accedere e condividere un Network attached storage (NAS) ovvero un dispositivo collegato alla rete la cui funzione è quella di una memoria costituita da uno o più dischi rigidi, all’interno della propria rete o dall’esterno.
Cisco Talos ha rilevato due varianti importanti nel propagare del contenuto malevolo quando il malware arriva al terzo stadio dell’attacco, ovvero all’ultimo:
- All’interno del blog, Cisco Talos analizza la variante definita “SSLER”, tramite cui la minaccia non si limita a danneggiare il dispositivo colpito, ma potrebbe essere sfruttato dagli aggressori per fornire exploit agli endpoint tramite una capacità “man-in-the-middle”
- In particolare, il malware dirotta il traffico destinato alla porta 80 e lo reindirizza al proprio servizio di ascolto sulla porta 8888, eseguendo diversi comandi dannosi all’interno del kernel, una tecnica che esegue ogni quattro minuti per stabilire la persistenza. Il contenuto di questo traffico può quindi essere rubato o modificato prima di essere inviato al servizio HTTP legittimo.
- Inoltre, nel caso VPNFilter non riesca a passare lo stadio due dell’attacco ovvero la disabilitazione del dispositivo, la variante è “dstr” rimuove ogni traccia del malware dal dispositivo, così che non sia possibile capire se si è stati attaccati da VPNFilter, una sorta di procedura di autodistruzione che render in ogni caso il dispositivo colpito inutilizzabile.
Oltre alle funzioni specificatamente pensate per intercettare le comunicazioni che usano il protocollo Modbus, utilizzato per gestire componenti industriali, VPNFilter potrebbe colpire anche qualsiasi dispositivo collegato alla rete locale, che sia computer, smartphone o tablet.
Queste caratteristiche fanno di VPNFilter lo strumento ideale per creare un’infrastruttura in grado di agire con estrema versatilità e rimanere sottotraccia offuscando la propria attività.
Nelle ultime settimane la minaccia ha intensificato la propria attività, con un incremento degli attacchi nei confronti dei dispositivi vulnerabili, e un’azione particolarmente concentrata in Ucraina, che ha portato l’FBI a ipotizzare che fosse in preparazione un attacco all’intera rete ucraina da parte del gruppo di cyber-spionaggio APT28 (conosciuto anche come Fancy Bear) riconducibile ai servizi segreti russi.
L’attacco è stato sventato dall’FBI che ha sequestrato i server C&C collegati a VPNFilter, e secondo i ricercatori Talos avrebbe potuto verificarsi durante la finale di Champions League tra Real Madrid e Liverpool che si giocata a Kiev il 27 maggio, o in occasione della festa nazionale Ucraina che cade il 27 giugno (il giorno in cui l’anno scorso è partito l’attacco Nyetya).
Cisco sta continuando a studiare le caratteristiche del malware, e si prevedono ulteriori aggiornamenti, a partire dall’elenco dei modelli vulnerabili che è stato stilato sulla base delle infezioni rilevate, ma ancora non sono state identificate le vulnerabilità sfruttate per effettuare l’attacco. Anche se è probabile che si tratti di exploit conosciuti e che potrebbero essere bloccati attraverso un semplice aggiornamento, Cisco Talos non esclude alcuna ipotesi.
Il problema principale è noto: router domestici e dispositivi IoT rappresentano un vero proprio buco nero in termini di sicurezza. Da una parte gli utenti non li proteggono con password adeguate e non li tengono aggiornati, dall’altre i Service Provider dovrebbero sfruttare meglio gli strumenti di aggiornamento in remoto.
Avendo a disposizione i dati provenienti da Cisco, Talos è in grado di monitorare con estrema efficacia l’intera Internet, ma la vera sfida è quella di capire come bloccare attacchi di questo genere prima che arrivino a colpire migliaia di persone.
Indice degli argomenti
Nuovi moduli infettivi appena scoperti dagli analisti: il malware si evolve
Una sfida resa ancora più ardua ora che gli analisti di Talos hanno scoperto sette nuovi moduli infettivi che espandono ulteriormente le funzionalità del malware e che rendono VPNFilter una delle minacce più pericolose e complesse tra quelle conosciute. La sua continua evoluzione, infatti, rende difficile bloccarne la propagazione, visto che non basta più patchare i dispositivi vulnerabili per bloccarne la diffusione.
Le nuove caratteristiche di VPNFilter, inoltre, lasciano supporre che i cyber criminali sono al lavoro per riattivare la botnet collegata al malware e riuscire così ad utilizzare nuovi e ancora più potenti strumenti di attacco.
Uno dei nuovi moduli di attacco appena scoperti, infatti, aggiunge al malware alcune funzionalità che gli consentono di mappare le reti infette e individuare gli endpoint di dispositivi già compromessi allo scopo di individuare nuove macchine da attaccare. Inoltre, il malware è adesso in grado di attivare un canale di comunicazione criptato attraverso il quale far transitare i dati rubati alle vittime. Infine, gli analisti di Talos hanno individuato una particolare funzionalità che consente a VPNFilter di creare una rete distribuita di proxy che potrebbe essere sfruttata in futuro dai criminali informatici per sferrare nuovi attacchi nascondendo la fonte del traffico malevolo.
Un dettaglio dei nuovi moduli infettivi di VPNFilter appena scoperti dagli analisti di Cisco Talos.
Strumenti molto complessi e avanzati che lasciano supporre la presenza di una grossa organizzazione criminale (probabilmente supportata da qualche ente governativo) dietro quest’ultima variante di VPNFilter. Per questo motivo, gli analisti Talos suggeriscono la massima attenzione e auspicano la realizzazione di un sistema di difesa avanzata e organizzata per riuscire a contrastare una simile e pericolosa minaccia.
Il pericolo per le PMI
È la prima volta che un malware così sofisticato e pericoloso attacca il settore delle piccole e medie aziende. E proprio questo ha spinto Talos a pubblicare i risultati della ricerca in anticipo rispetto alla loro conclusione. Quello a cui stiamo assistendo è una evoluzione nella tipologia di target da parte dei criminali informatici che non può essere sottostimata da parte delle PMI. Ricordiamo infatti che nell’ultimo stadio dell’attacco VPNFilter mette fuori uso i dispositivi colpiti, ben peggio del tenerli in stand by in attesa di un riscatto, come nel caso di WannaCry.
Pensando poi che lo scenario normativo in tema di data privacy è cambiato a seguito dell’entrata in vigore del regolamento europeo GDPR, ora una azienda ha 72 ore per notificare al garante della privacy l’avvenuta violazione dei dati (data breach) in proprio possesso, insieme al piano di recovery messo in piedi. Ogni PMI dovrebbe chiedersi se ha gli strumenti e i processi adeguati per fare questo.
Le PMI sono un obiettivo sensibile per i cyber criminali da tanto tempo, cosi come smartphone e dispositivi elettronici appartenenti a privati, anche quelli preposti ad uso domestico. La differenza, però, è che VpnFilter non attacca solo i dispositivi, ma anche le connessioni tra i dispositivi, fino a ispezionarne il traffico, rubarne i file e potenzialmente entrare nel network connesso a questi device.
In Italia, solo l’anno scorso, secondo il Clusit le aziende hanno subito danni per 10 miliardi di euro a causa degli attacchi cyber. Proprio per questo è essenziale investire il proprio tempo e il proprio budget in maniera efficiente: risparmiare ora sull’acquisto di una soluzione di cybersecurity per poi dover investire il doppio per rimediare agli attacchi subito non è né efficace, né strategico.
Nel Report annuale sulla sicurezza pubblicato da Cisco a inizio anno, scaricabile in versione integrale, è inserito lo studio Cisco 2018 Security Capabilities Benchmark Study (CSCBS) che ha coinvolto 3.651 responsabili della sicurezza informatica (CISO) e SecOps Managers in 26 paesi europei inclusa l’Italia a proposito dello stato della cybersecurity nelle loro aziende.
Secondo gli intervistati, più della metà di tutti gli attacchi ha causato danni finanziari per oltre 500.000 dollari americani, e hanno riguardato perdite di fatturato, di clienti, di opportunità e il dover sostenere costi aggiuntivi non previsti. In Italia, il 38% delle aziende intervistate all’interno dello studio, stima di aver subito danni inferiori ai 100.000 dollari, e il 37% ha subito danno che hanno superato i 500.000 dollari; mentre il 25% ha subito danni per cifre comprese tra i 100.000 e i 499.000.
Inoltre, in Italia le violazioni che hanno interessato più della metà dei sistemi sono state il 17%, mentre il 13% ha subito violazioni su poco meno della metà dei sistemi (tra il 41 e il 40%).
Ma come possono le aziende, in particolare quelle di piccole e medie dimensioni, difendersi da questa ondata di attacchi?
Suggerimenti per proteggersi
Talos ha già notificato gli attacchi ai fornitori colpiti, la maggior parte dei quali ha prontamente iniziato a lavorare sul nuovo firmware per risolvere il problema. In ogni caso, Cisco raccomanda in primo luogo di resettare i device, e restare costantemente in contatto con il supporto tecnico, così che risulti più semplice rimanere aggiornati su ogni singolo episodio e condividere esperienze e soluzioni direttamente con i nostri clienti.
Infine, Cisco suggerisce a tutte le aziende che utilizzano dispositivi presenti nella lista dei router menzionati e che temono di essere stati impattati, di seguire i suggerimenti indicati nel post di Cisco Talos.
Un altro consiglio è cercare di approcciare il tema della security da un punto di vista di architettura, adottando soluzioni capaci di rilevare e proteggere i propri sistemi contro queste minacce invasive e sofisticate.
Le soluzioni Cisco che aiutano a difendersi da questo come altri malware sono:
- Le soluzioni della prima linea di difesa come Umbrella, e Web Security Appliance in quanto bloccano i domini di tipo call back command e control(C2) conosciuti
- Le soluzioni Next Generation Firewall and Next Generation IPS per bloccare il malware proteggendo il network
- Stealthwatch Enterprise e Stealthwatch Cloud sono in grado di identificare i dispositivi che stanno comunicando con C2 noti. I dettagli del coverage specifico per questo malware si trovano nel Talos blog
- Chi ha il sospetto di essere stato attaccato e vuole agire ora per riparare immediatamente un possibile danno il servizio di Cisco Incident Response al numero 1-844-831-7715.
Articolo pubblicato in origine in data 14/06/2018 e ora aggiornato con le ultime notizie provenienti dagli analisti di Cisco Talos.
