Il malware Vpnfilter ha infettato un milione di router: ecco cosa devi sapere

Una recente scoperta che un nuovo malware basato su router, noto come VPNFilter, aveva infettato ben oltre 500.000 router, è diventata una notizia ancora peggiore. In un rapporto che dovrebbe essere rilasciato il 13 giugno, Cisco afferma che oltre 200.000 router aggiuntivi sono stati infettati e che le funzionalità di VPNFilter sono molto peggiori di quanto si pensasse inizialmente. Ars Technica ha riferito su cosa aspettarsi da Cisco mercoledì.

VPNFilter è un malware installato su un router Wi-Fi. Ha già infettato quasi un milione di router in 54 paesi e l'elenco dei dispositivi noti per essere interessati da VPNFilter contiene molti modelli di consumo popolari. È importante notare che VPNFilter non è un exploit di router che un utente malintenzionato può trovare e utilizzare per ottenere l'accesso: è il software installato involontariamente su un router in grado di fare alcune cose potenzialmente terribili.

VPNFilter è un malware che in qualche modo viene installato sul tuo router, non una vulnerabilità che gli aggressori possono utilizzare per ottenere l'accesso.

Il primo attacco di VPNFilter consiste nell'utilizzare un uomo nel mezzo dell'attacco al traffico in entrata. Quindi tenta di reindirizzare il traffico crittografato HTTPS sicuro a una fonte che non è in grado di accettarlo, causando il ritorno del traffico normale al traffico HTTP non crittografato. Il software che lo fa, chiamato dai ricercatori ssler, prevede disposizioni speciali per i siti che hanno misure aggiuntive per impedire che ciò accada come Twitter.com o qualsiasi servizio di Google.

Una volta che il traffico non è crittografato, VPNFilter è quindi in grado di monitorare tutto il traffico in entrata e in uscita che passa attraverso un router infetto. Invece di raccogliere tutto il traffico e reindirizzare a un server remoto per essere esaminato in seguito, si rivolge specificamente al traffico che è noto per contenere materiale sensibile come password o dati bancari. I dati intercettati possono quindi essere rispediti a un server controllato da hacker con legami noti con il governo russo.

VPNFilter è anche in grado di modificare il traffico in entrata per falsificare le risposte da un server. Questo aiuta a coprire le tracce del malware e gli consente di funzionare più a lungo prima di poter dire che qualcosa non va. Un esempio di ciò che VPNFilter è in grado di fare al traffico in entrata fornito a ARS Technica da Craig Williams, un leader tecnologico senior e un responsabile globale per la divulgazione di Talos:

Ma sembra essersi completamente evoluto oltre questo, e ora non solo consente loro di farlo, ma possono manipolare tutto ciò che passa attraverso il dispositivo compromesso. Possono modificare il saldo del tuo conto bancario in modo che appaia normale mentre allo stesso tempo stanno assorbendo denaro e potenzialmente chiavi PGP e cose del genere. Possono manipolare tutto ciò che entra e esce dal dispositivo.

È difficile o impossibile (a seconda del set di abilità e del modello di router) stabilire se si è infetti. I ricercatori suggeriscono che chiunque utilizzi un router noto per essere sensibile a VPNFilter presume che siano infetti e adotta le misure necessarie per riprendere il controllo del proprio traffico di rete.

Router noti per essere vulnerabili

Questo lungo elenco contiene i router consumer noti per essere sensibili a VPNFilter. Se il tuo modello appare in questo elenco, ti suggeriamo di seguire le procedure nella sezione successiva di questo articolo. I dispositivi nell'elenco contrassegnato come "nuovi" sono router che solo recentemente sono stati trovati vulnerabili.

Dispositivi Asus:

• RT-AC66U (nuovo)
• RT-N10 (nuovo)
• RT-N10E (nuovo)
• RT-N10U (nuovo)
• RT-N56U (nuovo)

Dispositivi D-Link:

• DES-1210-08P (nuovo)
• DIR-300 (nuovo)
• DIR-300A (nuovo)
• DSR-250N (nuovo)
• DSR-500N (nuovo)
• DSR-1000 (nuovo)
• DSR-1000N (nuovo)

Dispositivi Huawei:

• HG8245 (nuovo)

Dispositivi Linksys:

• E1200
• E2500
• E3000 (nuovo)
• E3200 (nuovo)
• E4200 (nuovo)
• RV082 (nuovo)
• WRVS4400N

Dispositivi Mikrotik:

• CCR1009 (nuovo)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nuovo)
• CRS112 (nuovo)
• CRS125 (nuovo)
• RB411 (nuovo)
• RB450 (nuovo)
• RB750 (nuovo)
• RB911 (nuovo)
• RB921 (nuovo)
• RB941 (nuovo)
• RB951 (nuovo)
• RB952 (nuovo)
• RB960 (nuovo)
• RB962 (nuovo)
• RB1100 (nuovo)
• RB1200 (nuovo)
• RB2011 (nuovo)
• RB3011 (nuovo)
• RB Groove (nuovo)
• RB Omnitik (nuovo)
• STX5 (nuovo)

Dispositivi Netgear:

• DG834 (nuovo)
• DGN1000 (nuovo)
• DGN2200
• DGN3500 (nuovo)
• FVS318N (nuovo)
• MBRN3000 (nuovo)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nuovo)
• WNR4000 (nuovo)
• WNDR3700 (nuovo)
• WNDR4000 (nuovo)
• WNDR4300 (nuovo)
• WNDR4300-TN (nuovo)
• UTM50 (nuovo)

Dispositivi QNAP:

• TS251
• TS439 Pro
• Altri dispositivi QNAP NAS con software QTS

Dispositivi TP-Link:

• R600VPN
• TL-WR741ND (nuovo)
• TL-WR841N (nuovo)

Dispositivi Ubiquiti:

• NSM2 (nuovo)
• PBE M5 (nuovo)

Dispositivi ZTE:

• ZXHN H108N (nuovo)

Cosa devi fare

In questo momento, non appena possibile, è necessario riavviare il router. Per fare ciò, è sufficiente scollegarlo dall'alimentazione per 30 secondi, quindi ricollegarlo. Molti modelli di router scaricano le app installate quando sono alimentate a ciclo.

Il prossimo passo è ripristinare le impostazioni di fabbrica del router. Le informazioni su come eseguire questa operazione sono disponibili nel manuale fornito nella confezione o sul sito Web del produttore. Questo di solito comporta l'inserimento di un perno in un foro incassato per premere un microinterruttore. Quando si riavvia il router, è necessario assicurarsi che sia sull'ultima versione del firmware. Ancora una volta, consultare la documentazione fornita con il router per i dettagli su come aggiornare.

Successivamente, esegui un rapido controllo di sicurezza su come stai usando il tuo router.

• Non utilizzare mai il nome utente e la password predefiniti per amministrarlo. Tutti i router dello stesso modello useranno quel nome e password predefiniti e ciò semplifica la modifica delle impostazioni o l'installazione di malware.
• Non esporre mai alcun dispositivo interno a Internet senza un forte firewall in atto. Ciò include cose come server FTP, server NAS, server Plex o qualsiasi dispositivo intelligente. Se è necessario esporre qualsiasi dispositivo collegato al di fuori della rete interna, è possibile utilizzare il software di filtraggio e inoltro delle porte. In caso contrario, investi in un firewall hardware o software avanzato.
• Non lasciare mai abilitata l'amministrazione remota. Può essere conveniente se sei spesso lontano dalla tua rete, ma è un potenziale punto di attacco che ogni hacker sa cercare.
• Rimani sempre aggiornato. Questo significa controllare regolarmente il nuovo firmware e, soprattutto, assicurarsi di installarlo se è disponibile.

Infine, se non riesci ad aggiornare il firmware per impedire l'installazione di VPNFilter (il sito Web del produttore avrà dettagli) acquistane uno nuovo. So che spendere soldi per sostituire un router perfettamente funzionante è un po 'estremo, ma non avrai idea se il tuo router è infetto a meno che tu non sia una persona che non ha bisogno di leggere questo tipo di suggerimenti.

Adoriamo i nuovi sistemi di router mesh che possono essere aggiornati automaticamente ogni volta che è disponibile un nuovo firmware, come Google Wifi, perché cose come VPNFilter possono accadere in qualsiasi momento e per chiunque. Vale la pena dare un'occhiata se sei sul mercato per un nuovo router.