I ricercatori del Talos Intelligence Group di Cisco hanno scoperto un sofisticato malware modulare che ha già infettato oltre 500.000 dispositivi di rete, tra cui router e NAS. Le analisi del codice hanno portato alla conclusione che VPNFilter (questo il nome scelto da Cisco) potrebbe essere utilizzato per compiere un cyberattacco contro l’Ucraina in occasione della finale di Champions League prevista sabato a Kiev.
Anche se Cisco non conferma gli autori del malware, VPNFilter condivide diversi componenti con BlackEnergy, un altro potente malware usato per eseguire attacchi su larga scala contro l’Ucraina nel 2015 e 2016, per i quali erano stato accusato il governo russo. Le indagini sono ancora in corso, ma sembra che dietro VPNFilter ci sia un gruppo di hacker russi, noto come Sofacy. Un giudice federale della Pennsylvania ha emesso un ordine di sequestro per un dominio Internet associato proprio a Sofacy e sfruttato per controllare da remoto i dispositivi infetti.
Il malware è modulare, multi-stadio e persistente al riavvio, quindi occorre un “hard reset” per eliminarlo. I cybercriminali possono eseguire diverse azioni, come il furto di file e delle credenziali di accesso ai siti web. VPNFilter permette inoltre di intercettare il traffico di rete (sniffer). Ma la sua funzionalità più distruttiva è quella che prevede la sovrascrittura del firmware del router, rendendo inutilizzabile il dispositivo. Ciò significa interrompere la connessione Internet ad un numero elevato di persone in tutto il mondo.
L’elenco dei router, pubblicato da Symantec, comprende modelli piuttosto noti, come il Netgear DGN2200. È quindi consigliabile l’installazione dell’ultima versione del firmware e la modifica della password.