Gli esperti ritengono che sia il prodotto del governo russo e che sia attualmente gestita da uno dei gruppi APT collegati al Cremlino
Questa settimana i ricercatori del gruppo di sicurezza Talos, insieme a colleghi di altre aziende, hanno scoperto un enorme botnet composta da oltre 500.000 router e dispositivi NAS (network-attached storage) compromessi.
Gli esperti ritengono che la botnet, identificata come VPNFilter, sia il prodotto del governo russo e che sia attualmente gestita da uno dei gruppi APT collegati al Cremlino.
Il malware associato alla botnet VPNFilter appare molto sofisticato, al momento della sua scoperta i sistemi compromessi sono più di 500.000 in 54 Paesi.
“Per diversi mesi, Talos ha lavorato con partner esperti in intelligence delle minacce del settore pubblico e privato e forze dell’ordine nell’investigazione di una attività riconducibile ad uno stato straniero che utilizza un sofisticato sistema modulare di malware che chiamiamo” VPNFilter “. ” recita l’analisi pubblicata dal gruppo Talos.
“Non abbiamo completato la nostra ricerca, ma gli eventi recenti ci hanno convinto che il modo corretto di procedere ora è condividere le nostre scoperte in modo che le parti interessate possano intraprendere le azioni appropriate per difendersi”.
L’indagine è ancora in corso, anche se la botnet è stata attribuita a gruppi APT collegati alla Russia e non è chiaro come gli hacker intendano usarla. Gli esperti di sicurezza e forze dell’ordine hanno deciso di condividere ugualmente i primi risultati dell’investigazione temendo un attacco imminente su larga scala condotto mediante la botnet VPNFilter.
L’analisi tecnica del codice ha rivelato molte somiglianze con un altro malware di stato, il malware BlackEnergy che è stato specificamente progettato per compromettere i sistemi ISC-SCADA e che è stato attribuito a gruppo APT Russi.
Un’altra somiglianza è la distribuzione geografica delle infezioni, sia BlackEnergy che VPNFilter hanno infettato un gran numero di dispositivi in Ucraina.
Secondo gli esperti, molti dispositivi infetti sono stati scoperti in Ucraina e il loro numero nel paese continua ad aumentare. L’8 maggio, i ricercatori di Talos hanno osservato un picco delle infezioni di VPNFilter, la maggior parte delle quali in Ucraina dove i sistemi compromessi erano controllati da un server differente (IP 46.151.209 [.] 33.) da quello principale della struttura di comando e controllo.
Gli esperti hanno scoperto che il malware VPNFilter ha infettato i dispositivi di diversi produttori, compresi Linksys, MikroTik, Netgear, QNAP e TP-Link.
VPNFilter è un ceppo di malware multistadio e modulare che implementa una vasta gamma di funzionalità sia per scopi di spionaggio informatico che di sabotaggio.
Il malware VPNFilter è in grado di attaccare i sistemi SCADA / ICS monitorando i protocolli come SCADA MODBUS. Il malware implementa una capacità distruttiva che può rendere inutilizzabile un dispositivo compromesso, ma l’aspetto più spaventoso è che il codice dannoso potrebbe essere attivato su larga scala per condurre un attacco massiccio. Quest’ultima funzionalità ha il potenziale di interrompere l’accesso a Internet per centinaia di migliaia di sistemi contemporaneamente.
Secondo gli esperti di Fortinet che hanno analizzato il malware, VPNFilter opera nelle seguenti tre fasi:
• Fase 1: implementa un meccanismo di persistenza e ridondanza, consente al malware di sopravvivere ad un riavvio.
• La fase 2 comprende l’estrazione dei dati, l’esecuzione dei comandi, la raccolta dei file e la gestione dei dispositivi. Solo in alcune versioni è presente un modulo autodistruzione.
• La fase 3 comprende più moduli che eseguono compiti diversi. Al momento i ricercatori hanno identificato solo tre moduli:
o Uno sniffer di pacchetti per il traffico
o Il monitoraggio dei protocolli MODBUS SCADA.
o Comunicazione con indirizzi offuscati tramite TOR
Le preoccupazioni principali riguardano proprio la modalità di autodistruzione che potrebbe causare gravi danni a tutti i dispositivi infetti, soprattutto nell’eventualità di un attacco massivo sincronizzato.
“Al momento, siamo a conoscenza di due moduli: uno sniffer di pacchetti per la raccolta del traffico che passa attraverso il dispositivo, che consente il furto delle credenziali di siti web ed il monitoraggio del protocollo SCADA Modbus, ed un modulo di comunicazione che consente alla fase 2 di comunicare su Tor.” continua il rapporto.
“Riteniamo esistano molti altri moduli, ma dobbiamo ancora scoprirli.”
L’analisi del malware ha rivelato che la seconda fase del malware, quella che implementa la funzionalità distruttiva, può essere rimossa da un dispositivo infetto riavviandolo, sfortunatamente la prima fase del malware implementa un meccanismo di persistenza e quindi non viene rimossa al riavvio del dispositivo.
Al momento della scrittura, gli esperti non hanno ancora identificato il vettore di attacco e sono particolarmente preoccupati per le capacità distruttive del malware che potrebbero consentire agli aggressori di distruggere i dispositivi infetti per coprire tracce della loro presenza.
Una parte della comunità di sicurezza informatica mondiale ritiene che la botnet potrebbe essere utilizzata per lanciare un massiccio attacco durante la celebrazione della ricorrenza in Ucraina del Giorno della Costituzione, l’anno scorso è stato lanciato nello stesso periodo il potente attacco basato sul wiper NotPetya.
“VPNFilter è una minaccia a largo spettro, robusta, molto sofisticata e pericolosa che prende di mira dispositivi che sono difficili da difendere. La sua struttura modulare consente cambiamenti rapidi nell’infrastruttura operativa dell’attaccante”, ha concluso Talos.
La risposta delle autorità
Mentre gli esperti del gruppo Talos fornivano dettagli tecnici sulla minaccia, il Dipartimento di Giustizia statunitense ha annunciato una azione di contrasto alla botnet VPNFilter.
Il Dipartimento di Giustizia degli Stati Uniti ha sequestrato un dominio parte dell’infrastruttura di comando e controllo, nell’annuncio gli esperti americani fanno esplicito riferimento ai gruppi di APT russi ( APT28 , Pawn Storm , Sandworm , Fancy Bear e Sofacy Group ) come possibili operatori della botnet.
Il Dipartimento di Giustizia ha ottenuto un mandato che autorizza l’FBI a sequestrare il dominio che fa parte dell’infrastruttura di comando e controllo della botnet VPNFilter.
“Il Dipartimento di Giustizia ha annunciato oggi uno sforzo per distruggere una botnet globale di centinaia di migliaia di router infetti e altri dispositivi collegati in rete sotto il controllo di un gruppo di attori noto come” Sofacy Group “(noto anche come” apt28″, “sandworm”, “x-agent”, “pawn storm”, “fancy bear” e “sednit”)”, recita il comunicato stampa pubblicato dal DoJ.
“L’annuncio di oggi mette in evidenza la capacità dell’FBI di agire rapidamente nella lotta alla criminalità informatica e il nostro impegno a proteggere il popolo americano e i suoi dispositivi”, ha affermato l’Assistente Direttore Scott Smith. “Sequestrando un dominio utilizzato da cyber-attori maligni nella loro campagna di botnet, l’FBI ha compiuto un passo fondamentale nel minimizzare l’impatto dell’attacco malware. Mentre questo è un primo passo importante, il lavoro dell’FBI non è finito.”
Tecnicamente l’operazione condotta dalle autorità statunitensi è denominata “sink holing”, il sequestro del dominio consentirà agli esperti delle forze dell’ordine e delle aziende di sicurezza di analizzare il traffico associato alla botnet per raccogliere ulteriori informazioni sulla minaccia e neutralizzarla temporaneamente.
I proprietari dei dispositivi compromessi dovrebbero riavviare i loro dispositivi il prima possibile, l’operazione rimuoverà temporaneamente il malware di seconda fase e farà sì che il malware di prima fase si colleghi al dominio sequestrato per ricevere istruzioni. In questo modo la minaccia sarà temporaneamente resa inattiva.