In seguito si riporta che un tipo di malware ha infettato più di 700.000 persone router utilizzato nelle case e nelle piccole imprese in più di 50 paesi, l'FBI invita tutti i consumatori a riavviare i propri router. Il malware VPNFilter è stato scoperto dai ricercatori di sicurezza di Cisco e colpisce i router realizzati da Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel e ZTE. Il Dipartimento di Giustizia degli Stati Uniti ha affermato che gli autori di VPNFilter facevano parte del gruppo Sofacy che rispondeva direttamente al governo russo, Reuters riferito e che l’Ucraina era il probabile obiettivo dell’attacco.
"Il malware VPNFilter è una piattaforma modulare multistadio con funzionalità versatili per supportare sia la raccolta di informazioni che le operazioni di attacco informatico distruttive", ha affermato Cisco in un rapporto. Poiché il malware potrebbe raccogliere dati dell'utente e persino eseguire un attacco distruttivo su larga scala, Cisco raccomanda ai proprietari di dispositivi SOHO o NAS (Network Connected Storage) di prestare particolare attenzione con questo tipo di dispositivi attacco. E poiché non è chiaro come siano stati infettati i dispositivi compromessi, i funzionari stanno sollecitando tutti gli utenti
router e dispositivi NAS riavviare.Video consigliati
Ciò è doppiamente importante ora, poiché ulteriori analisi mostrano che l’elenco degli hardware vulnerabili è molto più lungo di quanto si pensasse inizialmente. Laddove si diceva che 14 modelli di dispositivi fossero vulnerabili dopo l’annuncio iniziale, l’elenco è cresciuto fino a coprire decine di dispositivi di numerosi produttori. Ciò rende vulnerabili fino a 700.000 router in tutto il mondo e un numero ancora maggiore di utenti connessi.
Imparentato
- Oh fantastico, il nuovo malware consente agli hacker di prendere il controllo del tuo router Wi-Fi
- Come cambiare la password Wi-Fi del tuo router
- Come trovare l'indirizzo IP del tuo router per personalizzazione e sicurezza
Ancora più problematico è il fatto che le persone colpite sono vulnerabili a un elemento del malware appena scoperto che gli consente di eseguire a uomo nel mezzo attacco al traffico in entrata che passa attraverso il router. Ciò rende tutti gli utenti delle reti infette vulnerabili ad attacchi e furti di dati. Il modulo malware, chiamato "ssler", esegue inoltre la scansione attiva degli URL Web alla ricerca di informazioni sensibili come le credenziali di accesso, che possono quindi essere rimandate a un server di controllo, come da Ars Tecnica. Lo fa declassando attivamente le connessioni HTTPS protette in traffico HTTP molto più leggibile.
Ciò che più colpisce di quest’ultima scoperta è che mette in luce come sono i proprietari dei router e i dispositivi connessi anche obiettivi, non solo le potenziali vittime della botnet che è stata attivamente creata attraverso la sua proliferazione malware.
Indipendentemente da ciò, i consigli per proteggere la propria rete rimangono gli stessi.
“L’FBI consiglia a qualsiasi proprietario di router per piccoli uffici e uffici domestici di riavviare i dispositivi interrompono temporaneamente il malware e aiutano la potenziale identificazione di dispositivi infetti”, ha affermato l’FBI hanno avvertito i funzionari. “Si consiglia ai proprietari di considerare la possibilità di disabilitare le impostazioni di gestione remota sui dispositivi e di proteggerli con password complesse e crittografia quando abilitate. I dispositivi di rete dovrebbero essere aggiornati alle ultime versioni disponibili del firmware.”
VPNFilter prevede tre fasi: una fase 1 persistente e fasi 2 e 3 non persistenti. A causa del funzionamento del malware, il riavvio eliminerà le fasi 2 e 3 e attenuerà la maggior parte dei problemi. L’FBI aveva sequestrato un dominio utilizzato dal creatore del malware per sferrare le fasi 2 e 3 dell’attacco. Queste fasi successive non possono sopravvivere a un riavvio.
Anche il Dipartimento di Giustizia ha emesso un avviso simile, invitando gli utenti a riavviare i propri router. “I proprietari di dispositivi SOHO e NAS che potrebbero essere infetti dovrebbero riavviare i propri dispositivi il prima possibile, eliminandoli temporaneamente il malware di seconda fase e facendo sì che il malware di prima fase sul loro dispositivo richieda istruzioni”, ha affermato il dipartimento in un dichiarazione. “Anche se i dispositivi rimarranno vulnerabili alla reinfezione con il malware di seconda fase mentre sono connessi a Internet, questi sforzi massimizzano le opportunità di identificare e porre rimedio all’infezione in tutto il mondo nel tempo disponibile prima che gli attori di Sofacy vengano a conoscenza della vulnerabilità nel loro comando e controllo infrastruttura."
Cisco ha consigliato a tutti gli utenti di eseguire un ripristino delle impostazioni di fabbrica dei propri dispositivi, che eliminerebbe anche la fase 1 del malware. Se non hai chiaro come eseguire un ripristino delle impostazioni di fabbrica, dovresti contattare il produttore del router per istruzioni, ma in generale, inserendo un graffetta nel pulsante "reset" situato sul retro o nella parte inferiore del router e tenendolo in posizione per alcuni secondi si cancellerà il router. Sono inoltre disponibili ulteriori raccomandazioni per mitigare gli attacchi futuri Il rapporto di Cisco.
Aggiornamento del 6 giugno: aggiunte notizie sui router e sui vettori di attacco recentemente colpiti.
Raccomandazioni degli editori
- Stai mettendo il router nel posto sbagliato. Ecco invece dove inserirlo
- Come aggiornare il firmware del router
- Dai al tuo router nuovi superpoteri installando DD-WRT
- L'hacker infetta 100.000 router nell'ultimo attacco botnet volto a inviare spam tramite posta elettronica
- Il tuo router è vulnerabile agli attacchi? Un nuovo rapporto dice che le probabilità non sono a tuo favore
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
