Aggiornamenti sul malware VPNFilter
Nelle passate settimane è stato portato alla luce il problema di VPNFilter, un malware piuttosto sofisticato che ha colpito oltre 500 mila router consumer sparsi in tutto il mondo. I ricercatori del team di sicurezza Talos di Cisco hanno rilasciato alcuni dettagli aggiuntivi che mostrano come il problema sia più grave di quanto già non fosse in origine e che il malware ha colpito molti più modelli di router di quelli ritenuti vulnerabili inizialmente.
Tra le funzionalità più significative recentemente scoperte, vi è un modulo che può compiere attacchi attivi man-in-the-middle sul traffico web in ingresso (se non conosci l’attacco man-in-the-middle, leggi il nostro articolo di approfondimento). Un attaccante può usare questo modulo per iniettare payload dannosi nel traffico che passa attraverso il router compromesso, payload che possono essere costruiti su misura per sfruttare dispositivi specifici connessi alla rete infetta.
Il modulo può esere usato anche per modificare in maniera occulta contenuti mostrati tramite siti web. Il modulo può compiere ben altre azioni oltre alla semplice manipolazione del traffico, come ad esempio sottrare dati sensibili, ispezionando attivamente gli URL per cogliere quegli elementi indice del fatto che sulla comunicazione in corso vengono trasmesse password o altre informazioni sensibili, così da intercettare queste ultime, copiarle e inviarle ai server che gli attaccanti controllano ancora adesso. Per fare ciò il modulo cerca in maniera attiva di declassare le connessioni HTTPS in traffico HTTP in testo semplice, allo scopo di aggirare la cifratura TLS che è pensata proprio per prevenire questo genere di attacchi. Il passo successivo è quello di cambiare gli header di richiesta per segnalare che l’endpoint non è capace di interpretare connessioni cifrate.
Craig Williams, ricercatore del team Talos, ha commentato ad ArsTechnica: “Inizialmente abbiamo pensato si trattasse di un malware pensato principalmente per scopi offensivi, ma sembra che gli attaccanti siano andati oltre e che ora possono manipolare tutto ciò che passa attraverso il dispositivo compromesso”.
Il report di Talos va inoltre ad approfondire alcuni elementi del comportamento del modulo packet sniffer già precedentemente infividuato. Questo modulo va a monitorare il traffico cercando dati e informazioni specifiche indirizzati a sistemi di controllo industriale che si connettono ad una VPN su router TP-Link R600, oltre a cercare connessioni verso un indirizzo IP pre-specificato. Il modulo è inoltre attento a monitorare pacchetti che sono di almeno 150byte di dimensione. “Cerca qualcosa di davvero specifico, non sta tentando di raccogliere quanto più traffico possa. E’ alla ricerca di piccoli elementi particolari come credenziali e password. Non abbiamo molto oltre a questo, se non che appare essere incredibilmente mirato e sofisticato. Stiamo ancora cercando di capire su chi venga usato” spiegano i ricercatori.
Viene fatta ulteriore luce sul modulo di autodistruzione, che può ancora essere recapitato a qualsiasi dispositivo già infetto che ancora ne sia sprovvisto. L’esecuzione di questo modulo prevede anzitutto la rimozione di qualsiasi traccia di VPNFilter dal dispositivo e quindi l’esecuzione del comando “rm -rf/*” che ha l’effetto di eliminare tutto il resto del filesystem. A questo punto il dispositivo viene riavviato e reso inservibile.
Nelle scorse settimane, dopo il sequestro dei server command and control, l’FBI aveva consigliato di riavviare il router: sebbene questo suggerimento possa riuscire a neutralizzare in molti casi VPNFilter o comunque di permettere di guadagnare tempo, è bene osservare che il reboot da solo non è una misura sufficiente per risolvere il problema alla radice. Osserva a tal proposito Williams: “Sono preoccupato che l’FBI abbia diffuso tra le persone un falso senso di sicurezza. VPNFilter è ancora operativo, infetta ancor pià dispositivi di quanto si ritenesse inizialmente e le sue funzionalità vanno ben oltre a quanto avevamo originariamente pensato. Gli utenti devono eliminarlo dalle proprie reti”.
Talos ha dichiarato che VPNFilter prende di mira un numero più grande di dispositivi di quanto precedentemente si ritenesse, compresi modelli prodotti da ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. Il malware funziona inoltre su nuovi modelli di router di produttori già precedentemente noti per essere vulnerabili. Williams ha stimato che oltre ai 500 mila router già colpiti, altri 200 mila sono a rischio di esere infetti o sono giù stati colpiti anch’essi. I ricercatori ancora non sono riusciti a capire come i router vengano infettati allo stadio 1 del malware, ma presumono si possa trattare dello svfruttamento di vulnerabilità note per le quali probabilmente già esistono patch di sicurezza.
Non esiste un modo semplice, alla portata di tutti, per sapere se un router è compromesso da VPNFilter. Un metodo implica la ricerca tra i log del router di possibili indicatori di compromissione che Cisco elenca alla fine del suo report. Un altro metodo passa per il reverse engineering del firmware e il confronto con un firmware sano. Entrambi questi metodi sono al di fuori delle capacità della maggior parte degli utenti. E’ il motivo per cui ha senso per la maggior parte delle persone presumere che il router sia comunque compromesso e quindi procedere ad una serie di operazioni che possano riportarlo ad uno stato regolare.
Le azioni da compiere per “decontaminare” il router variano da modello a modello. In alcuni casi un semplice reset alle condizioni di fabbrica pulisce completamente il router, in altri casi è necessario riavviare il dispositivo e installare immediatamente l’ultimo firmare aggiornato, se possibile senza passare da internet ma usando una connessione USB con il firmware scaricato precedentemente su una chiavetta. Se il router dovesse avere qualche anno di troppo sulle spalle, può essere il caso di considerare l’acquisto di un nuovo modello. Valgono poi, per l’operatività ordinaria, le solite regole di buonsenso: cambiare la password di default, se già non è stato fatto, e laddove possibile disabilitare le funzioni di amministrazione remota.
Direttamente dal report di Talos riportiamo di seguito l’elenco dei dispositivi vulnerabili alla compromissione con VPNFilter:
ASUS DEVICES:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)D-LINK DEVICES:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)HUAWEI DEVICES:
HG8245 (new)
LINKSYS DEVICES:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400NMIKROTIK DEVICES:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)NETGEAR DEVICES:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)QNAP DEVICES:
TS251
TS439 Pro
Other QNAP NAS devices running QTS softwareTP-LINK DEVICES:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)UBIQUITI DEVICES:
NSM2 (new)
PBE M5 (new)UPVEL DEVICES:
Unknown Models* (new)
ZTE DEVICES:
ZXHN H108N (new)