Botnet VPNFilter, dispositivi a rischio. Come gli operatori stanno arginando l’infezione

La scorsa settimana abbiamo segnalato la scoperta di una potente botnet composta da oltre 500.000 dispositivi NAS e router compromessi.

La botnet, tracciata come VPNFilter, è considerata dagli esperti di sicurezza estremamente sofisticata, mentre la sua creazione è stata attribuita all’intelligence Russa.

Avete compreso bene, la botnet VPNFilter potrebbe essere il risultato di una operazione su larga scala operata da un gruppo APT associato al governo Russo, precisamente APT28 ovvero il gruppo che cercato di influenzare le Presidenziali americane del 2016 con una serie di attacchi.

La maggior parte dei dispositivi infettati dal codice malevolo associato alla botnet è risultato essere in Ucraina ed il loro numero nel paese continua ad aumentare. Il giorno 8 maggio, i ricercatori del gruppo di sicurezza Talos hanno osservato un picco nel numero di infezione associate a VPNFilter, la maggior parte delle quali proprio in Ucraina. Altro particolare che suggerisce che il paese sia il reale obiettivo dell’attacco è che la maggior parte dei dispositivi compromessi nel paese è controllato da una infrastruttura di comando e controllo dedicata e che risponde all’IP 46.151.209 [.] 33.

Temendo un attacco imminente, gli esperti hanno ritenuto opportuno passare all’azione, per fortuna una pronta risposta delle autorità ha permesso di evitare il peggio e distruggere la botnet.

La botnet ha preso di mira i dispositivi prodotti da Linksys, MikroTik, Netgear, QNAP e TP-Link.

Tutto risolto? Purtroppo no.

I botmaster stanno tentando di riprendere possesso della botnet ampliandone la potenza di fuoco, questo è quanto emerso dal monitoraggio del traffico malevolo associato a VPNFilter.

Gli esperti delle società di sicurezza GreyNoise Intelligence e JASK ritengono che lo stesso attaccante stia ora tentando di riprendere possesso la botnet cercando di infettare nuovi dispositivi.

“JASK collabora attivamente con GreyNoise Intelligence (RNL) per stabilire un migliore accesso e visibilità per il traffico SYN globale e regionale. L’analisi preliminare dei risultati dell’RNI identifica un numero di IP di origine che eseguono esclusivamente la scansione della porta 2000 (dispositivi MikroTik) nelle reti ucraine “, afferma un rapporto pubblicato da JASK.

“Attività come questa ci forniscono indicazioni importanti sulla campagna in corso in Ucraina, che sarà oggetto di ricerche future”.

In buona sostanza, l’analisi del traffico ha rivelato una intensa attività mirata alle reti Ucraine da parte di diversi indirizzi IP, in particolare gli attaccanti dietro VPNFilter stanno concentrando i propri sforzi contro i router Mikrotik che espongono la porta 2000 online.

Come sottolineato più volte, il malware VPNFilter è molto sofisticato e implementa molte funzionalità utilizzate da codici malevoli utilizzati di solito da governi. Spiccano funzioni con la capacita di cancellare il firmware, di comunicare con i sistemi di comando e controllo attraverso la rete Tor, di monitoraggio del traffico e di attaccare sistemi di controllo industriali (ICS).

Mentre le autorità statunitensi accusano il gruppo di hacking APT28 collegato alla Russia per la creazione della botnet, la comunità di sicurezza mondiale invita gli organismi ucraini a rimanere vigili al fine di contrastare eventuali attacchi informatici che potrebbero essere alimentati dalla botnet VPNFilter.

Chiudo con qualche suggerimento per prevenire ulteriori infezioni da parte di VPNFilter:

• I proprietari dei router devono riavviare i dispositivi resettando le impostazioni di fabbrica.
• Bloccare l’accesso agli spazi di archiviazione NAS collegati in rete, ad esempio consentendo la connessione solo da parte di indirizzi aziendali
• Disabilitare l’accesso remoto ai router dal pannello di amministrazione.
• Cambiare le password predefinite per i router e tutti i dispositivi IoT presenti in azienda ed utilizzare password complesse.