Cresce la minaccia VpnFilter, pericoloso malware che ha finora colpito oltre 500mila dispositivi in più di 50 Paesi. I danni da esso causati, però, potrebbero presto lievitare. A supporto di questa tesi, spiegano gli esperti di Talos – il centro di ricerca per l’intelligence e la cyber security di Cisco, la multinazionale statunitense dell’informatica che lo ha scoperto -, ci sono importanti (e preoccupanti) novità emerse nelle scorse ore.
LE NUOVE SCOPERTE DI CISCO TALOS
Il virus, infatti – di cui si sta occupando anche la sicurezza nazionale americana che, sulla minaccia, ha diramato uno specifico alert – “può estendersi alle connessioni web e ai processi di comunicazione”, ha spiegato a Cyber Affairs Martin Lee, il responsabile tecnico della ricerca per la sicurezza di Talos, “adesso può attaccare più dispositivi rispetto agli inizi” e la sua azione. Se ad esempio un device infettato apre una pagina web, il malware può modificarla. Oppure può attaccare elementi come Modbus, un protocollo di comunicazione per le macchine industriali, modificando i processi produttivi”. VpnFilter sembra anche avere “la capacità di supportare l’exploitation di dispositivi endpoint”, il che gli consente “di colpire, oltre i dispositivi stessi, anche le reti da essi supportate”, implementando nell’ambiente, in caso di successo, “qualsiasi capacità aggiuntiva per supportare i propri obiettivi, inclusi rootkit, capacità di esfiltrazione o malware distruttivi”.
IL PERICOLO PER LE PMI
La possibilità che i sistemi industriali siano attaccati è affrontata da tempo da chi si occupa di cyber security. Eppure, il pericolo posto da VpnFilter – che è stato collegato al gruppo hacker russo Apt28 – sembra essere particolarmente insidioso, soprattutto se si guarda a realtà tra le più vulnerabili come le Piccole e medie imprese. “Le Pmi”, ha evidenziato Lee, “sono un obiettivo sensibile per I cyber criminali da tanto tempo, cosi come smartphone e apparecchi elettronici appartenenti a privati, anche quelli preposti ad uso domestico”, dice Lee. “La differenza”, però, sottolinea l’esperto di Talos, “è che VpnFilter, caratterizzato da una struttura modulare, non solo attacca le apparecchiature, ma anche le connessioni tra i dispositivi, fino a ispezionarne il traffico, rubarne i file e potenzialmente entrare nel network connesso a questi device”.
Ad esempio, ha proseguito l’esperto, il malware in questioni è diverso da un’altra minaccia pure altamente devastante come WannaCry. “L’ultimo stadio di VpnFilter è la messa fuori uso dei dispositivi colpiti, e non il fatto di tenerli in stand by in attesa di vedersi pagare un riscatto come nel caso del ransomware WannaCry”.
UNA NUOVA MINACCIA
Ma VpnFilter non è l’unica minaccia cyber in azione in questo momento. Proprio in questi giorni, ricorda Lee, gli esperti di Talos hanno rilevato un nuovo virus apparentemente studiato per colpire gli utenti sudcoreani.
Denominato Hangul Word Processor (Hwp), il malware entra in azione una volta aperto un file infetto. Dopodiché viene scaricato sul computer della vittima trojan per accesso remoto (o Rat, Remote Access Trojan) chiamato NavRat, in grado di eseguire varie azioni sul device attaccato.
Il documento esca, usato dai cyber criminali su target di specifico interesse, è intitolato ‘Prospettive per il vertice Usa-Corea del Nord.hwp’ (Hwp è un’estensione di file usata prevalentemente in Corea del Sud).
Il malware in questione è particolarmente pericoloso perché ha anche caratteristiche di keylogger (uno strumento hardware o software capace di intercettare e catturare segretamente tutto ciò che viene digitato sulla tastiera senza che l’utente si accorga di essere monitorato).
“Sappiamo che è stato perpetrato un attacco sofisticato da qualcuno interessato alla questione coreana”, ha rimarcato. “Sappiamo, inoltre, che il modo in cui è stato progettato ed il modo in cui si sta diffondendo richiede una conoscenza ingegneristica, interesse politico e padronanza della lingua coreana”. Poco chiari per il momento, invece, gli obiettivi dei creatori di questo attacco cyber. “Investigheremo seguendo da vicino le attività cyber in Corea e studieremo la situazione per garantire una protezione efficace ai clienti Cisco. Questa minaccia cyber che sta colpendo la Corea del Sud ci interessa molto, sia per la natura, così insolita, sia per il modo in cui è stata condotta da un punto di vista puramente tecnico”.
I CONSIGLI DI CISCO
Ma come possono le aziende, in particolare quelle di piccole e medie dimensioni, difendersi da questa ondata di attacchi? “Noi”, evidenzia Fabio Panada, consulting systems engineer security di Cisco, “raccomandiamo in primo luogo di resettare i device, e restare costantemente in contatto con la nostra azienda, così che risulti più semplice per noi rimanere aggiornati su ogni singolo episodio e condividere esperienze e soluzioni direttamente con i nostri clienti. VpnFilter – ma non solo – è molto sofisticato, è quindi fondamentale ricevere un’assistenza tempestiva. Un altro consiglio è cercare di approcciare il tema della security da un punto di vista di architettura, adottando soluzioni capaci di rilevare e proteggere i nostri clienti contro queste minacce invasive e sofisticate. È molto importante anche migliorare le tradizionali misure di sicurezza e l’approccio alla cyber security”.