- Home
- Cybersecurity
- Bello e malevolo
Bello e malevolo
| Leonardo Lanzi | cybersecurity
Poco più di un mese fa, Cisco Talos ha reso nota l'individuazione di VPNFilter, un nuovo malware particolarmente aggressivo associato a una botnet – una feature ormai irrinunciabile per ogni software malevolo che si rispetti.
di Leonardo Lanzi, GARR CERT
Si stima che VPNfilter abbia colpito almeno un milione di dispositivi, in massima parte modem/router e sistemi di storage in rete dei produttori più diffusi. Tra questi - solo per svegliare l'interesse di chi legge- ci sono D-Link, Huawei, Linksys, Netgear, QNAP, TP-Link. Ciò che i dispositivi infettati hanno in comune è essere dispositivi "smart" (scomodiamo pure IoT), dotati di un sistema operativo completo per offrire all'utente un'interfaccia facile di configurazione e quanti più servizi possibile, cosa che tecnicamente si indica con "fa anche il caffè". Nell’occasione si è scomodata pure l’FBI, chiedendo di fare un reboot dei propri dispositivi: il motivo, almeno nei primi giorni, era l'individuazione dei nodi infetti, dato che avevano appena "catturato" i nodi centrali di C&C (Command e Control) della botnet.
Cos’ha di particolare questo malware? Se vi piace programmare e vi interessa il funzionamento di reti e sistemi operativi, lo troverete semplicemente bellissimo (dettagli spiegati da Sophos. Il suo funzionamento ha tre fasi e i dati di tutte le parti significative sono cifrate.
Il primo passo, una volta utilizzata una vulnerabilità del software del dispositivo, è modificare la crontab del sistema operativo per essere eseguita ogni 5 minuti. Questa si occupa di salvare un certificato client SSL per autenticarsi presso il suo server via HTTPS da lì scarica delle immagini, che contengono nei metadati EXIF gli indirizzi IP di altri server a cui collegarsi per la seconda fase. Il secondo passo consiste nello scaricare un trojan che apre una backdoor sul dispositivo. Questa può eseguire comandi diretti sul device (download, reboot, copy, exec, kill ecc), e imposta un proxy per le connessioni tramite rete TOR. Le backdoor sono state scritte per diversi tipi di processori: x86, ARM e MIPS. Il plugin per il terzo stadio è un client TOR che fa un sacco di cose: è uno sniffer che si attiva su traffico contenente pattern come user, login, password e simili, o su protocolli di comunicazione PLC verso probabili oggetti smart; su diversi device installa lo script tmUnblock.cgi, legato a numerosi exploit e eseguibili malevoli, come il miner di Bitcoin MoonWorm che ha infettato tanti router in passato. Tutti i dati catturati vengono salvati nella directory che dà il nome al malware, /var/run/vpnfilter.
Cosa viene fuori da questo che sembra uno dei tanti episodi di una serie ormai vista - a parte un po' di invidia personale per chi sa scrivere codice fatto così bene? Una conferma, se ce ne fosse bisogno, delle tante possibilità che la proliferazione (non dico esponenziale perché è troppo usato, anche in casi che non hanno niente di esponenziale) di dispositivi facili da usare e con molteplici funzionalità, ma che nascondono un’elevata complessità apre ai cattivi. Un'infinità di porte inaspettate e difficili da controllare, proprio perché mentre tutti temiamo per la salute dei nostri PC e smartphone, non ci curiamo troppo del router di casa, della scatola di dischi di backup in rete, dei termostati o delle webcam dell'antifurto.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 7/2018Editoriale
-
Industria 4.0: benvenuti nella fabbrica dei daticaffè scientifico
-
Nei competence centre si disegna la fabbrica del futurocaffè scientifico
-
Made in Italy 4.0caffè scientifico
-
Libera cultura in libera reteservizi alla comunità
-
Un tool per migliorare il DNSservizi alla comunità
-
Archivi in rete per crescere insiemela voce della comunità
-
Scuola: un ponte hi-tech per l’universitàla voce della comunità
-
ENEA :: 700TeraFlops per CRESCO6la voce della comunità
-
CNR :: Agricoltura hi-tech, con il portale Agrosatla voce della comunità
-
EGO :: Identità digitali con IDEM e eduGAINla voce della comunità
-
INGV :: La storia eruttiva dell’Etna in 3Dla voce della comunità
-
Big Data dallo Spazio profondoosservatorio della rete
-
Un’autostrada digitale per lo Spazioosservatorio della rete
-
Data centre da record con il link a 1,2 Tbpsosservatorio della rete
-
Ecco come sarà il futuro della reteosservatorio della rete
-
Una blockchain per domarli tutticybersecurity
-
Horizon Europe: finalmente ci siamointernazionale
-
IRU: la rivoluzione silenziosainternazionale
-
Il futuro? A ciascuno la sua reteieri, oggi, domani
-
Borse di studio GARR 2018: ecco i nuovi giovani talentipillole di rete
-
Mediterraneo Sud-Orientale più connesso all'Europapillole di rete
-
Net neutrality: la battaglia per la neutralità della rete è cominciatapillole di rete
-
OpenStack Day Italy 2018 Containerization & DevOpsagenda
-
2° Festival Internazionale della Roboticaagenda
-
Alla Politecnica, l’Industria 4.0 è già di casacaffè scientifico
-
Nella fabbrica intelligente le macchine parlano e imparanocaffè scientifico
-
A ciascuno il suo gemello digitalecaffè scientifico
-
Bello e malevolocybersecurity
-
Direttiva Copyright: articolo 13 rimandato a settembrecybersecurity
-
GDPR: la tentazione del lato oscurocybersecurity
-
Conferenza GARR 2018 Data (r)evolutionagenda
-
Notte Europea dei Ricercatori e Festival della Scienzaagenda
-
Big Data e Libertà nella dimensione digitaleSpeciale GDPR
Articoli nella rubrica
-
di Leonardo Lanzi
-
di Federica Tanlongo
-
di Francesco Palmieri
-
di Simona Venuti
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009