Cinquecentomila dispositivi colpiti, 54 Paesi, migliaia di piccole e medie imprese derubate di dati sensibili. Sono questi i numeri di VpnFilter, il malware che sta seminando il panico da settimane, sottraendo file ai dispositivi colpiti per poi annidarsi al loro interno fino a distruggerli. Secondo l’Fbi dietro al virus si celerebbe il famigerato gruppo hacker russo Apt28, collettivo conosciuto anche sotto il nome di Fancy Bear, Sofacy o Pawn Storm, già noto al grande pubblico per attacchi informatici al ministero della Difesa georgiano, l’Osce e perfino alla Casa Bianca, per citare i più celebri. A queste conclusioni è giunto anche Talos, il centro di ricerca per l’Intelligence e la cyber security di Cisco, la multinazionale statunitense specializzata nella fornitura di apparati di networking e sistemi di sicurezza informatica. Il 23 maggio Talos ha pubblicato una lunga ricerca sul funzionamento del VpnFilter, condividendola con i fornitori della Cyber Threat Alliance. “Il report non era ancora completo, ma non potevamo perdere altro tempo” ha detto a Cyber Affairs Martin Lee, il responsabile tecnico della ricerca per la sicurezza di Talos. Ingegnere, quattro lauree fra Parigi, Bristol Cambridge e Oxford, Lee vanta più di tredici anni nell’industria della sicurezza. In questa intervista ci spiega il pericolo del nuovo malware e come evitare di rimanerne vittime.

Martin Lee, quando siete venuti a conoscenza del virus VpnFilter ?

Non possiamo rivelare la data esatta. L’organizzazione di ricerca per l’intelligence di Cisco ha un quadro molto ampio di quel che succede nell’internet e di cosa facciano “i cattivi”, grazie alla telemetria, al sistema di protezione che offriamo ai clienti, alla rete di ottime relazioni con attori del settore pubblico e privato con cui scambiamo intelligence. Abbiamo pensato che fosse arrivato il momento giusto per rendere pubblica la nostra ricerca e collaborare con i nostri partner del settore.

Come opera il malware?

È un malware estremamente ben progettato, opera in tre fasi distinte. Non sappiamo come inizi ad attaccare i dispositivi. Crediamo che li comprometta direttamente, puntando alle vulnerabilità più conosciute. Inizia installando la prima parte del malware, che gli permette di rimanere nel dispositivo anche se viene spento e riacceso. La seconda e la terza fase prevede l’installazione di due moduli che differiscono per il plug-in, ma ce ne potrebbero essere altri che ancora non abbiamo scoperto. Il primo è in grado di leggere il traffico interno del network, sottrarre le credenziali per l’accesso ai siti e il protocollo Mobdus per il sistema industriale per il controllo e la supervisione di dati (Scada). Un dato preoccupante, perché dimostra che i piccoli dispositivi connessi ad internet non sono gli unici sotto tiro. Il secondo modulo usa il dispositivo per connettersi a Tor, un sistema di comunicazione anonima che permette di accedere al traffico di informazioni nascoste o riservate.

Quali dispositivi sono caduti vittime del VpnFilter?

Sappiamo che al momento sono stati colpiti dispositivi come Lynksys, Mikrotik, Netgear, TP-Link e Qnap. Questi device sono presenti soprattutto nel segmento Small and Home Office (Soho) delle Piccole e Medie Imprese, ma anche in aziende che hanno un Network Attached Storage (Nas). Gli attacchi al momento hanno colpito circa 500mila dispositivi. Ma è solo l’inizio, potrebbe trattarsi di 500001 o arrivare a 650mila, perché la situazione è ancora in evoluzione.

Quali sono i Paesi più colpiti?

La maggior parte degli attacchi si è verificata in Ucraina, con una significativa escalation di infezioni a partire dallo scorso 8 maggio. Tuttavia il malware ha già colpito ben 54 Paesi, compresi diversi Stati europei e gli Stati Uniti. Sarebbe dunque un errore ritenere che il pericolo sia circoscritto a un gruppo ristretto di Stati. L’internet è globale per natura, e lo stesso vale per gli attacchi cyber. Gli attori privati devono essere al corrente del pericolo e prendere al più presto precauzioni.

Chi c’è dietro gli attacchi?

Noi di Talos Cisco siamo stati in grado di ricondurre gli attacchi all’Atp28, un gruppo di hacker conosciuto anche con il nome di Fancy Bear o Sofacy. Parliamo di attori che dispongono di risorse estremamente sofisticate. Alle stesse conclusioni è giunta l’Fbi, che la settimana scorsa ha diramato un comunicato sul pericolo del VpnFilter.

Sembra che siano state trovate somiglianze con trojan Black Energy che ha colpito l’Ucraina nel 2014, arrivando a spegnere due centrali elettriche. È così?

Sembra che ci sia una qualche sovrapposizione fra i codici. Le informazioni contenute in alcune delle funzioni sembrano riconducibili alla stessa fonte, ma i due malware restano profondamente diversi nella struttura.

L’Fbi ha consigliato ai proprietari dei network di spegnere e riaccendere i dispositivi e eventualmente di cambiare la password.

Ci sentiamo di dare lo stesso consiglio. Se si spegne e riaccende il dispositivo vengono rimossi i due moduli installati nella seconda e nella terza fase, ma non la parte di malware inserita nella prima fase. In poche parole vengono rimossi i server command and control, interrompendo la comunicazione con il server centrale, ma il malware rimane nel dispositivo. Per estirparlo è necessario resettare i dati di fabbrica e installare un firmware aggiornato. Consigliamo alle aziende di studiare un piano per affrontare malware di questa specie perché in futuro potrebbero essere più aggressivi e difficili da rimuovere.

Il settore privato spesso non investe nella cybersecurity o lo fa troppo tardi. Che consigli vi sentite di dare alle aziende?

Questa è una delle ragioni per cui abbiamo pubblicato la nostra ricerca prima che fosse terminata. Abbiamo incluso una lista di soluzioni che gli attori del settore privato possono adottare per proteggere i loro network. Il VpnFilter è estremamente pericoloso. È la prima volta che un malware così sofisticato attacca il settore Soho di piccole e medie aziende. È fondamentale aumentare la consapevolezza della minaccia nel settore privato e sollecitare una cultura della cyber security. Non appena avremo più informazioni sul malware aggiorneremo il nostro report.