L’Fbi ha sequestrato un dominio usato da un gruppo di attaccanti per infettare più di 500mila router, in una campagna che, secondo le autorità americane, sarebbe riconducibile ad hacker di Stato russi. E non a un gruppo qualsiasi ma agli ormai famosi Fancy Bear (o Sofacy, o APT28), gli stessi accusati di aver hackerato i server e le email dei Democratici americani nel 2016 nonché di una serie di altre importanti incursioni informatiche.
Il gruppo in questione avrebbe utilizzato un malware, un software malevolo, battezzato VPN Filter, per infettare oltre mezzo milione di router in 54 Paesi. A dare dettagli su questa infezione erano stati, mercoledì, i ricercatori di Cisco, la nota azienda di apparati di rete che ha anche una unità dedicata alla cybersicurezza, Talos.
Come funziona il malware
Nel loro comunicato, gli analisti di Cisco, che studiano il malware da mesi, avvertono del fatto che il malware può essere usato per raccogliere comunicazioni, lanciare attacchi contro altri target, e distruggere permanentemente gli apparecchi con un solo comando. Inoltre, diversamente da altri malware del genere che colpiscono router e simili, non scompare dopo un riavvio del dispositivo. VPN Filter è infatti un software sofisticato, modulare, composto cioè da più moduli e fasi, in grado di infettare router prodotti da Linksys, MikroTik, Netgear, TP-Link, e altri apparecchi.
Aggiornamento del 28 maggio
TP-Link ha successivamente contattato AGI per dire di aver fatto delle verifiche interne e non aver riscontrato il problema segnalato dai ricercatori di Cisco nel loro report online; e "non aver rilevato alcun rischio inerente" i suoi prodotti. Tuttavia per assicurare il massimo livello di protezione suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware. E di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti.
“Riteniamo che questo malware serva a creare una infrastruttura difficile da individuare/attribuire, che poteva essere usata per diversi bisogni operativi” del gruppo, scrivono i ricercatori. “Poiché i dispositivi colpiti sono legittimamente posseduti da individui o imprese, l’attività malevola condotta attraverso gli stessi poteva essere attribuita per errore a quelle che invece erano vittime” del gruppo. “Le capacità inserite nei vari stadi e plugin del malware sono molto versatili e permetterebbero a un attore malevolo di sfruttare i dispositivi in molti modi”. In particolare sarebbe possibile intercettare credenziali di login e dati sul traffico; e disabilitare permanentemente il dispositivo, una possibilità che sembra preoccupare molto i ricercatori.
Le infezioni sono state registrate in 54 Paesi anche se avrebbero rallentato a partire dal 2016. Tuttavia nelle ultime settimane ci sarebbe stato un ritorno di fiamma delle infezioni, specie in Ucraina, insieme a nuove avanzate funzionalità del malware, e tutto ciò avrebbe spinto Cisco a uscire in fretta con un rapporto preliminare. Probabilmente però la decisione è legata anche a quanto avvenuto poco dopo. Perché in concomitanza l’Fbi si stava preparando ad entrare in azione.
L’intervento dell’Fbi
L’agenzia federale investigativa americana ha infatti ottenuto da un giudice un ordine di sequestro del dominio ToKnowAll[.]com con cui gli hacker controllavano la rete di dispositivi infetti (botnet), di fatto prendendo a sua volta il controllo del traffico degli apparecchi (una pratica nota come sinkholing). La mossa dovrebbe impedire agli attaccanti di riattivare il malware dopo il riavvio del router, e l’Fbi, riferisce il Daily Beast, starebbe raccogliendo gli indirizzi IP di ogni dispositivo compromesso in modo da ripulire le infezioni, avvisando i vari Isp, i fornitori di connessione internet, o gli stessi utenti. Che dovrebbero quanto meno riavviare il router. Secondo Ars Technica, sarebbe consigliabile invece almeno un factory reset dei dispositivi. Purtroppo in questa fase non è semplice capire se un router sia stato colpito, né è chiaro come i dispositivi siano stati infettati inizialmente.
Il sospetto su Sofacy
Altro aspetto interessante è che per le autorità americane, dice l’affidavit dell’Fbi, dietro l’attacco ci sarebbe un gruppo di hacker russi noto come Sofacy, Fancy Bear o APT28, cioè lo stesso accusato di essere una emanazione del Cremlino, e che da almeno due anni è al centro delle tensioni cyber fra Stati Uniti e Russia.
Secondo l’Fbi, l’algoritmo di cifratura usato nel primo stadio del malware sarebbe lo stesso utilizzato da un altro software malevolo usato per attacchi a centrali elettriche in Ucraina, Black Energy, che l’agenzia americana sembra attribuire senza dubbi di sorta a Sofacy. Anche il rapporto di Cisco, pur senza citare la Russia, notava la sovrapposizione in una parte di codice fra i due malware. Tuttavia BlackEnergy è un software malevolo che è stato riutilizzato in più azioni anche da gruppi diversi, per cui come unico elemento di attribuzione sembra un po’ debole.
Di sicuro il governo americano stava lavorando sul caso da mesi. E proprio alcune settimane fa il dipartimento per la Sicurezza interna, l’Fbi e il National Cyber Security Center britannico avevano avvisato del rischio che hacker russi compromettessero vaste quantità di router e altri apparati di rete. Oggi quel comunicato appare più chiaro.