VPNFilter Check, controllare che il proprio router non sia infetto

Nei giorni scorsi abbiamo parlato di VPNFilter, una minaccia che prende di mira i router di diversi produttori e che integra funzionalità particolarmente complesse.
Una volta infettato il router, VPNFilter agisce utilizzando un approccio a più stadi: il malware integra il codice per caricarsi nuovamente al momento del riavvio del router e diverse routine per monitorare il traffico dati in transito, raccogliere dati personali e credenziali d’accesso, effettuare il trasferimento delle informazioni razziate verso server remoti.
VPNFilter integra una serie di plugin che consentono la comunicazione con i server command and control attraverso Tor e l’aggressione di dispositivi industriali SCADA.

Il funzionamento di VPNFilter era stato fotografato dai ricercatori dei laboratori Cisco Talos: vedere gli articoli VPNFilter, una nuova minaccia prende di mira router di diversi produttori e VPNFilter bersaglia molti modelli di router ed è più pericoloso.

Tra i componenti usati da VPNFilter ve n’è uno chiamato ssler: esso si occupa di intercettare tutto il traffico che transita attraverso il router e che è destinato alla porta 80.
Il modulo funge da proxy in ascolto sulla porta locale 8888 tanto che VPNFilter provvede a modificare le tabelle di routing con iptables deviando tutto il traffico diretto sulla porta 80. Il traffico dati su HTTPS viene passato su protocollo HTTP così da impedire l’utilizzo di connessioni cifrate (vedere anche quest’analisi tecnica).

Symantec ha appena rilasciato uno strumento online chiamato VPNFilter Check che si occupa di verificare se il proprio router fosse infetto.

Per avviare il controllo basta portarsi in questa pagina, spuntare la casella “Click here to indicate that you have read and agree to the terms of the VPNFilter Check Terms of Use” quindi cliccare sul pulsante Run VPNFilter Check.