Poco più di un mese fa, Cisco Talos ha reso nota l'individuazione di VPNFilter, un nuovo malware particolarmente aggressivo associato a una botnet – una feature ormai irrinunciabile per ogni software malevolo che si rispetti.

di Leonardo Lanzi, GARR CERT

Si stima che VPNfilter abbia colpito almeno un milione di dispositivi, in massima parte modem/router e sistemi di storage in rete dei produttori più diffusi. Tra questi - solo per svegliare l'interesse di chi legge- ci sono D-Link, Huawei, Linksys, Netgear, QNAP, TP-Link. Ciò che i dispositivi infettati hanno in comune è essere dispositivi "smart" (scomodiamo pure IoT), dotati di un sistema operativo completo per offrire all'utente un'interfaccia facile di configurazione e quanti più servizi possibile, cosa che tecnicamente si indica con "fa anche il caffè". Nell’occasione si è scomodata pure l’FBI, chiedendo di fare un reboot dei propri dispositivi: il motivo, almeno nei primi giorni, era l'individuazione dei nodi infetti, dato che avevano appena "catturato" i nodi centrali di C&C (Command e Control) della botnet.

Cos’ha di particolare questo malware? Se vi piace programmare e vi interessa il funzionamento di reti e sistemi operativi, lo troverete semplicemente bellissimo (dettagli spiegati da Sophos. Il suo funzionamento ha tre fasi e i dati di tutte le parti significative sono cifrate.

Il primo passo, una volta utilizzata una vulnerabilità del software del dispositivo, è modificare la crontab del sistema operativo per essere eseguita ogni 5 minuti. Questa si occupa di salvare un certificato client SSL per autenticarsi presso il suo server via HTTPS da lì scarica delle immagini, che contengono nei metadati EXIF gli indirizzi IP di altri server a cui collegarsi per la seconda fase. Il secondo passo consiste nello scaricare un trojan che apre una backdoor sul dispositivo. Questa può eseguire comandi diretti sul device (download, reboot, copy, exec, kill ecc), e imposta un proxy per le connessioni tramite rete TOR. Le backdoor sono state scritte per diversi tipi di processori: x86, ARM e MIPS. Il plugin per il terzo stadio è un client TOR che fa un sacco di cose: è uno sniffer che si attiva su traffico contenente pattern come user, login, password e simili, o su protocolli di comunicazione PLC verso probabili oggetti smart; su diversi device installa lo script tmUnblock.cgi, legato a numerosi exploit e eseguibili malevoli, come il miner di Bitcoin MoonWorm che ha infettato tanti router in passato. Tutti i dati catturati vengono salvati nella directory che dà il nome al malware, /var/run/vpnfilter.

Cosa viene fuori da questo che sembra uno dei tanti episodi di una serie ormai vista - a parte un po' di invidia personale per chi sa scrivere codice fatto così bene? Una conferma, se ce ne fosse bisogno, delle tante possibilità che la proliferazione (non dico esponenziale perché è troppo usato, anche in casi che non hanno niente di esponenziale) di dispositivi facili da usare e con molteplici funzionalità, ma che nascondono un’elevata complessità apre ai cattivi. Un'infinità di porte inaspettate e difficili da controllare, proprio perché mentre tutti temiamo per la salute dei nostri PC e smartphone, non ci curiamo troppo del router di casa, della scatola di dischi di backup in rete, dei termostati o delle webcam dell'antifurto.