Italian Tech

VpnFilter, colpito al cuore il malware dei router. Fbi: "Spegnete e riavviate"

VpnFilter, colpito al cuore il malware dei router. Fbi: "Spegnete e riavviate"
I federali confermano di aver preso il controllo del sito da cui transitavano le richieste malevole dai dispositivi compromessi. Sotto accusa il gruppo di hacker Sofacy, già noto come Fancy Bear
1 minuti di lettura
IL GOVERNO statunitense ha dichiarato di aver oscurato un dominio chiave legato a VpnFilter, un tentacolare malware botnet che nei giorni scorsi aveva hackerato oltre 500mila router e altri dispositivi in ben 54 Paesi. Individuato in un primo momento da Cisco Talos Intelligence Group, il malware riguardava router di produttori come Linksys, MikroTik, Netgear, Tp-Link e Qnap. In sostanza aveva creato un 'esercito' mondiale di device in grado di filtrare e controllare il traffico di rete che vi transitava, sottraendo così dati e informazioni e comunicando tramite la rete anonima di Tor. Oltre che di compiere azioni fatali provocando appunto l'autodistruzione del dispositivo.

In particolare sembra che l'exploit, cioè l'esecuzione del codice malevolo, si dividesse in due fasi. Anzitutto con l’infezione e il riavvio forzato dei dispositivi poi l’intercettazione e il recupero di file e informazioni sensibili. Sempre in questa seconda fase sarebbe incluso il comando in grado di avviare l’autodistruzione del router. Un codice, hanno notato gli esperti, molto simile a quello di BlackEnergy, il trojan che conduceva attacchi informatici DDoS (quindi un prodotto diverso rispetto a VpnFilter) degli attacchi informatici in Ucraina fra 2014 e 2016, riuscendo anche a 'spegnere' tre centrali elettriche nel Paese.
Dunque a VpnFilter sarebbe stato inferto un colpo fatale con la chiusura del dominio ToKnowAll.com, collegato al server centrale del malware e a sua volta snodo essenziale della grande botnet composta da router, server e memorie di massa. Venendo meno la comunicazione con il sito in questione l'Fbi sarebbe riuscita a 'liberare' gran parte dei dispositivi compromessi prendendo il controllo del command and control server del malware deviando le richieste del virus verso un proprio server controllato e acquisendo così gli indirizzi IP dei router infetti, poi trasmessi alle autorità dei vari Paesi.

Ovviamente non basta il lavoro dei federali Usa che avrebbe incastrato il gruppo di hacker noto come Sofacy (alias Fancy Bear). Il consiglio per chi disponga di quei router è di riavviarli, disattivando l’accesso remoto, aggiornare il firmware e proteggerlo con un firewall. I modelli coinvolti sono elencati in una lista diffusa da Symantec.