Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy

Cybersecurity café :: Bello e malevolo

Bello e malevolo

Scritto da Leonardo Lanzi Il . Inserito in cybersecurity . Visite: 233

Poco più di un mese fa, Cisco Talos ha reso nota l'individuazione di VPNFilter, un nuovo malware particolarmente aggressivo associato a una botnet – una feature ormai irrinunciabile per ogni software malevolo che si rispetti.

di Leonardo Lanzi, GARR CERT

Si stima che VPNfilter abbia colpito almeno un milione di dispositivi, in massima parte modem/router e sistemi di storage in rete dei produttori più diffusi. Tra questi - solo per svegliare l'interesse di chi legge- ci sono D-Link, Huawei, Linksys, Netgear, QNAP, TP-Link. Ciò che i dispositivi infettati hanno in comune è essere dispositivi "smart" (scomodiamo pure IoT), dotati di un sistema operativo completo per offrire all'utente un'interfaccia facile di configurazione e quanti più servizi possibile, cosa che tecnicamente si indica con "fa anche il caffè". Nell’occasione si è scomodata pure l’FBI, chiedendo di fare un reboot dei propri dispositivi: il motivo, almeno nei primi giorni, era l'individuazione dei nodi infetti, dato che avevano appena "catturato" i nodi centrali di C&C (Command e Control) della botnet.

Cos’ha di particolare questo malware? Se vi piace programmare e vi interessa il funzionamento di reti e sistemi operativi, lo troverete semplicemente bellissimo (dettagli spiegati da Sophos. Il suo funzionamento ha tre fasi e i dati di tutte le parti significative sono cifrate.

Il primo passo, una volta utilizzata una vulnerabilità del software del dispositivo, è modificare la crontab del sistema operativo per essere eseguita ogni 5 minuti. Questa si occupa di salvare un certificato client SSL per autenticarsi presso il suo server via HTTPS da lì scarica delle immagini, che contengono nei metadati EXIF gli indirizzi IP di altri server a cui collegarsi per la seconda fase. Il secondo passo consiste nello scaricare un trojan che apre una backdoor sul dispositivo. Questa può eseguire comandi diretti sul device (download, reboot, copy, exec, kill ecc), e imposta un proxy per le connessioni tramite rete TOR. Le backdoor sono state scritte per diversi tipi di processori: x86, ARM e MIPS. Il plugin per il terzo stadio è un client TOR che fa un sacco di cose: è uno sniffer che si attiva su traffico contenente pattern come user, login, password e simili, o su protocolli di comunicazione PLC verso probabili oggetti smart; su diversi device installa lo script tmUnblock.cgi, legato a numerosi exploit e eseguibili malevoli, come il miner di Bitcoin MoonWorm che ha infettato tanti router in passato. Tutti i dati catturati vengono salvati nella directory che dà il nome al malware, /var/run/vpnfilter.

Cosa viene fuori da questo che sembra uno dei tanti episodi di una serie ormai vista - a parte un po' di invidia personale per chi sa scrivere codice fatto così bene? Una conferma, se ce ne fosse bisogno, delle tante possibilità che la proliferazione (non dico esponenziale perché è troppo usato, anche in casi che non hanno niente di esponenziale) di dispositivi facili da usare e con molteplici funzionalità, ma che nascondono un’elevata complessità apre ai cattivi. Un'infinità di porte inaspettate e difficili da controllare, proprio perché mentre tutti temiamo per la salute dei nostri PC e smartphone, non ci curiamo troppo del router di casa, della scatola di dischi di backup in rete, dei termostati o delle webcam dell'antifurto.

 

GARR News - Testata semestrale registrata al Tribunale di Roma: n. 243/2009 del 21 luglio 2009

Il contenuto di questo sito è rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia

GARR News è edito da Consortium GARR, La rete Italiana dell'Università e della Ricerca


GARR News n°18 - luglio 2018 - Tiratura: 10.000 copie - Chiuso in redazione: 23 luglio 2018
Redazione GARR News
Hanno collaborato a questo numero: Giuseppe Attardi, Claudio Barchesi, Alex Barchiesi, Paolo Bolletta, Antonella Bozzi, Alberto Colla, Luigi Cordisco, Andrea Corleto, Marco Ferrazzoli, Elena Foglia Franke, Elisa Gamberoni, Americo Gervasi, Alessandro Girardi, Mara Gualandi, Silvia Malesardi, Marcello Maggiora, Pasquale Mandato, Silvia Mattoni, Laura Moretti, Eleonora Napolitano, Mario Reale, Andrea Salvati, Marisa Serafini, Davide Vaghetti, Massimo Valiante, Giancarlo Viola, Gloria Vuagnin


 

Abbiamo 340 visitatori e nessun utente online