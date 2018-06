Luca Colantuoni,

I ricercatori del Talos Intelligence Group di Cisco avevano scoperto un potente malware che colpisce diversi router, rendendoli inutilizzabili attraverso la riscrittura del firmware. Dopo aver analizzato in dettaglio il codice di VPNFilter, gli esperti dell’azienda californiana hanno individuato nuove funzionalità che possono causare danni ancora più gravi. Inoltre il numero di dispositivi interessati è maggiore del previsto.

Inizialmente l’elenco comprendeva router e NAS di Linksys, MikroTik, Netgear, TP-Link e QNAP. Cisco ha scoperto che sono stati colpiti anche diversi router di ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. VPNFilter ha una struttura modulare e multi-stadio. Cisco ha scoperto due nuovi moduli, uno dei quali permette di eseguire attacchi man-in-the-middle, intercettando il traffico web sulla porta 80, iniettando codice infetto e soprattutto disattivando la crittografia TLS. In pratica tutte le richieste HTTPS diventano richieste HTTP, quindi è possibile rubare le credenziali di accesso e altri dati sensibili.

Ciò significa che il target di VPNFilter è più ampio di quanto ipotizzato. Il malware può essere utilizzato non solo per interrompere la connessione ad Internet, danneggiando irreversibilmente il router, ma anche per manipolare il traffico attraverso il dispositivo compromesso. La disattivazione della crittografia TLS semplifica, ad esempio, l’accesso agli account bancari.

Il secondo modulo viene invece usato per attivare l’auto-distruzione, ovvero la cancellazione dei file necessari alla normale operatività e l’intero file system con il comando “rm -rf /*”. L’obiettivo è nascondere le tracce dell’infezione in caso di analisi forense. Ovviamente il router non funzionerà più. Nonostante il sequestro di un dominio da parte dell’FBI, VPNFilter è ancora attivo.