Malware

VPNFilter: oscurato il dominio principale dall’FBI | Aggiornamento

Soltanto ieri vi avevamo parlato del pericolo legato a VPNFilter, il malware che era riuscito in poco tempo ad hackerare oltre 500.000 dispositivi in tutto il mondo. Arriva oggi la notizia che il governo americano è riuscito ad oscurare un dominio chiave correlato al malware.


Aggiornamento 29/05/2018: TP-Link, uno dei produttori citati dal rapporto di Symantec, ci ha tenuto a dire la sua riguardo il malware VPNFilter.


Il malware VPNFilter è stato rilevato e bloccato dall’FBI

Hacker

Il governo americano, dopo i comunicati ufficiali di Cisco e Symantec, è riuscito ad individuare l’attacco. Precisamente, il dominio individuato era ToKnowAll.com, direttamente collegato al server di VPNFilter e comunicava con router e NAS infetti. L’FBI ha inibito il malware alla prima fase prendendo il controllo del server C&C (command and control) e registrando i dispositivi infetti. Inoltre, l’FBI ha anche concesso delle direttive per cercare di pulire i suddetti dispositivi nelle fasi 2 e 3.

Si tratta essenzialmente di riavviare router e NAS compromessi e di aggiornarli ai firmware più recenti. Infatti è consigliato disattivare l’accesso remoto del router e coprirlo con un firewall. Grazie a Symantec, tra l’altro, siamo a conoscenza di quali dispositivi router siano più vulnerabili all’attacco hacker. Tra ibrandpiù conosciuti soggetti all’hack troviamo Linksys, MikroTik, Netgear, TP-Link e QNAP. In seguito all’intervento dell‘FBI sono poi trapelati i nomi dei responsabili. Pare che dietro l’attacco ci possa essere Sofacy, un gruppo di hacker meglio conosciuti con il nome di Fancy Bear al quale sono stati attribuiti altri attacchi di questo tipo in passato.

Aggiornamento: TP-LINK in merito al nuovo malware

A pochissimo dal report pubblicato da Symantec, arriva la risposta da parte di TP-Link, uno dei produttori i cui router sono stati evidenziati come “più vulnerabili” a VPNFilter. L’azienda – da sempre attentissima in fatto di sicurezza – ha deciso di rilasciare una comunicazione al riguardo.

“TP-Link, da sempre attiva nel garantire il più alto livello di sicurezza, per quanto concerne la vulnerabilità VPNFilter recentemente portata alla luce da diversi operatori di settore, comunica di non aver rilevato alcun rischio inerente i propri prodotti. Per assicurare il massimo livello di protezione, come da best-practice, l’azienda suggerisce di verificare periodicamente la disponibilità di aggiornamenti software e firmware al seguente link.

TP-Link consiglia, inoltre, di modificare le credenziali predefinite per l’accesso alle interfacce di configurazione dei prodotti come descritto a questa pagina.

TP-Link è costantemente al lavoro nel monitorare qualsiasi vulnerabilità, pertanto, aggiornamenti informativi e firmware/software saranno rilasciati in caso di necessità. Per qualsiasi ulteriore informazione, il Supporto Tecnico TP-Link rimane naturalmente a disposizione al link

[su_app]