Il malware che ha infettato i router in 54 Paesi
Secondo L’FBI, il software sarebbe riconducibile a Fancy Bear
Sono 500 mila i router infettati, dislocati in 54 Paesi. E i modelli colpiti sono i più svariati: da quelli prodotti da Netgear a Linksys, passando per TP-Link, MikroTik e tanti altri. Basterebbero questi numeri per comprendere la gravità dell’attacco scoperto mercoledì scorso dagli analisti di Cisco Talos. Si tratta del malware VPN Filter, riconducibile al famigerato gruppo Fancy Bear (chiamato anche Sofacy e APT 28). Un collettivo di hacker, accusati, tra le altre cose, di aver trafugato le email del partito democratico Usa .
Il software malevolo è in grado di registrare le comunicazioni e lanciare attacchi contro altri obiettivi. Allo stesso tempo, a differenza di altri malware simili,rimane all’interno del dispositivo anche dopo la fase del riavvio. Senza dimenticare che VPN Filter, è anche in grado di distruggere gli apparecchi con un comando a distanza.
Per fermare l’attacco, l’FBI ha dovuto sequestrare e prendere il controllo del dominio ToKnowAll[.]com, da cui gli hacker controllavano la rete di dispositivi infetti. In questo modo, una volta riavviati i router, gli attaccanti non potrebbero più riprendere il controllo dei dispositivi infetti. Ma non basta, i federali stanno anche raccogliendo tutti gli indirizzi ip compromessi, in modo da avvertire provider e utenti. Allo stesso tempo, sarebbe necessario che siano gli stessi produttori a resettare i router.
Le prime infezioni sarebbero comparse diversi anni fa, ma con una progressione crescente nelle ultime settimane. In particolare poi, molte di esse, sono localizzate in Ucraina. E l’algoritmo di cifratura usato nelle prime versioni, sarebbe lo stesso di Black Energy, un malware che ha colpito i sistemi informatici delle centrali elettriche del Paese. Un software malevolo, creato e sviluppato da Fancy Bear, almeno secondo l’FBI. Insomma, le prove potrebbero ricondurre a una responsabilità russa.
Commenta per primo.