Analisi in corso del sofisticato malware router VPNFilter, rivelato dalla società di networking Cisco due settimane fa e che si ritiene abbia infettato fino a 500.000 dispositivi, ha rilevato che l'attacco è potenzialmente più pericoloso per gli utenti di quanto si pensasse e interessa una gamma molto più ampia di dispositivi.

Il malware modulare si rivolge a dispositivi di rete come router domestici e di piccole imprese, scatole NAS e switch di rete, ed è stato ora scoperto su dispositivi ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE.

Originariamente, i ricercatori di Cisco Talos Labs avevano trovato VPNFilter residente su dispositivi di Linksys, Netgear, QNAP e TP-Link. Il nome di Huawei nell'elenco è destinato a ricevere maggiore attenzione in quanto il produttore è un famoso produttore di dispositivi originali per i grandi provider di servizi Internet come TalkTalk con sede nel Regno Unito.

L'infezione iniziale è stata ritenuta abbastanza pericolosa che, poco dopo che Cisco ha rivelato la sua esistenza, l'FBI ha preso provvedimenti per impossessarsi di un dominio che il malware utilizzava come server di comando e controllo.

L'agenzia di legge statunitense ha anche emesso un avvertimento globale ai proprietari di dispositivi potenzialmente infetti, chiedendo loro di riavviare il loro equipaggiamento - un passo che cancellerebbe le parti più pericolose del malware e aiuterà a prevenire che possa causare ulteriori danni.

  • Relazionato: Il nuovo codice di sicurezza di internet ha lo scopo di eliminare Mirai e altre minacce

Nuove capacità scoperte

Inizialmente pensata come una botnet abbastanza standard, che userebbe dispositivi infetti per condurre attacchi informatici su altri obiettivi, il Talos Intelligence Group di Cisco ha scoperto nuove funzionalità nel malware, che potrebbero mettere i proprietari di router infetti a maggior rischio.

In particolare, un modulo chiamato "ssler" sembra appositamente progettato per compromettere il traffico Internet inviato da e verso un router infetto. Il modulo utilizza un attacco di stile "man in the middle" che tenta di downgrade del traffico Web HTTPS protetto in modo che i dati vengano inviati su HTTP come testo in chiaro non crittografato, rendendo le informazioni sensibili come accessi e password molto più facili da intercettare e acquisire.

Cisco non ha rivelato un numero totale per quanti dispositivi aggiuntivi ritiene ora possano essere infettati, ma ha affermato che nonostante i precedenti avvertimenti che gli utenti debbano riavviare i dispositivi a rischio, il malware persiste ancora e che la minaccia "continua a crescere”.

Cisco ha fornito un elenco aggiornato dei dispositivi che potrebbero essere interessati, quindi se si possiede uno dei seguenti, si consiglia vivamente di riavviarlo:

  • Asus RT-AC66U (nuovo)
  • Asus RT-N10 (nuovo)
  • Asus RT-N10E (nuovo)
  • Asus RT-N10U (nuovo)
  • Asus RT-N56U (nuovo)
  • Asus RT-N66U (nuovo)
  • D-Link DES-1210-08P (nuovo)
  • D-Link DIR-300 (nuovo)
  • D-Link DIR-300A (nuovo)
  • D-Link DSR-250N (nuovo)
  • D-Link DSR-500N (nuovo)
  • D-Link DSR-1000 (nuovo)
  • D-Link DSR-1000N (nuovo)
  • Huawei HG8245 (nuovo)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (nuovo)
  • Linksys E3200 (nuovo)
  • Linksys E4200 (nuovo)
  • Linksys RV082 (nuovo)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (nuovo)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (nuovo)
  • Mikrotik CRS112 (nuovo)
  • Mikrotik CRS125 (nuovo)
  • Mikrotik RB411 (nuovo)
  • Mikrotik RB450 (nuovo)
  • Mikrotik RB750 (nuovo)
  • Mikrotik RB911 (nuovo)
  • Mikrotik RB921 (nuovo)
  • Mikrotik RB941 (nuovo)
  • Mikrotik RB951 (nuovo)
  • Mikrotik RB952 (nuovo)
  • Mikrotik RB960 (nuovo)
  • Mikrotik RB962 (nuovo)
  • Mikrotik RB1100 (nuovo)
  • Mikrotik RB1200 (nuovo)
  • Mikrotik RB2011 (nuovo)
  • Mikrotik RB3011 (nuovo)
  • Mikrotik RB Groove (nuovo)
  • Mikrotik RB Omnitik (nuovo)
  • Mikrotik STX5 (nuovo)
  • Netgear DG834 (nuovo)
  • Netgear DGN1000 (nuovo)
  • Netgear DGN2200
  • Netgear DGN3500 (nuovo)
  • Netgear FVS318N (nuovo)
  • Netgear MBRN3000 (nuovo)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (nuovo)
  • Netgear WNR4000 (nuovo)
  • Netgear WNDR3700 (nuovo)
  • Netgear WNDR4000 (nuovo)
  • Netgear WNDR4300 (nuovo)
  • Netgear WNDR4300-TN (nuovo)
  • Netgear UTM50 (nuovo)
  • QNAP TS251
  • QNAP TS439 Pro
  • Dispositivi NAS QNAP con software QTS
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (nuovo)
  • TP-Link TL-WR841N (nuovo)
  • Ubiquiti NSM2 (nuovo)
  • Ubiquiti PBE M5 (nuovo)
  • Upvel: Modelli sconosciuti (nuovi)
  • ZTE ZXHN H108N (nuovo)
  • Se il tuo router è su quell'elenco, potrebbe essere il momento di prendere in considerazione un aggiornamento. Queste sono le raccomandazioni di TechRadar per i migliori router del 2018.