Qualche settimana fa abbiamo appreso che un malware abbastanza sofisticato, chiamato VPNFilter, è riuscito ad infettare più di 500.000 router e altri dispositivi in tutto il mondo. E’ stato avvistato in 54 paesi, ma un aumento dell’attività in Ucraina ha suggerito che il malware è stato creato dall’intelligence russa che sta cercando di distruggere l’Ucraina prima delle celebrazioni locali a fine giugno.

Il “Kremlin” ha negato qualsiasi coinvolgimento in VPNFilter: da allora, però, pare che l’FBI abbia lanciato un avvertimento agli utenti di Internet per riavviare i loro router. Il team di sicurezza di Cisco Talos è tornato con ulteriori dettagli sul malware che rivelano che esso è ancora più pericoloso e spaventoso di quanto pensassimo.

Perché è pericoloso?

VPNFilter si rivolge a più dispositivi di quanti ne siano stati segnalati per la prima volta, compresi i modelli ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE, oltre a nuovi modelli di produttori già presi di mira tra cui Linksys, MikroTik, Netgear e TP-Link. Fino a 200.000 router aggiuntivi in tutto il mondo corrono il rischio di essere infetti.

Cisco ha anche scoperto che il malware potrebbe eseguire attacchi man-in-the-middle, ciò significa che il malware può iniettare contenuti dannosi nel traffico che passa attraverso il router infetto e i suoi obiettivi.

Allo stesso modo, può rubare le credenziali di accesso che vengono trasmesse tra un computer e un sito web. I nomi utente e le password possono essere copiati e inviati a server controllati dagli hacker attraverso il downgrade delle connessioni HTTPS a HTTP, il che significa che il malware sta essenzialmente cercando di aggirare la crittografia.

I problemi non terminano qui!

Da quanto è stato appreso, il malware è anche in grado di scaricare un modulo di autodistruzione che pulisce il dispositivo e riavvia il dispositivo. Eliminare VPNFilter non è un compito facile; il malware è costruito in modo tale che un attacco di Fase 1 agisca da backdoor su dispositivi che possono essere infettati e viene utilizzato per scaricare ulteriori payload, fasi 2 e 3, che portano a funzioni più sofisticate, tra cui gli attacchi di mezzo e l’autodistruzione.

Tutti i proprietari di router dovrebbero presupporre fin dall’inizio che il loro dispositivo è stato infettato ed eseguire un ripristino di fabbrica, seguito da un aggiornamento software che potrebbe rimuovere le vulnerabilità del dispositivo all’infezione dello Stage 1.

Si consiglia inoltre di modificare le password predefinite, così come disabilitare l’amministrazione remota. Nonostante ciò, riavviare il dispositivo come richiesto dall’FBI potrebbe non essere sufficiente.