Gli Usa reagiscono al maxi cyber attacco degli hacker pro-Russia di Fancy Bear (alias APT 28, STRONTIUM e altri) con il malware VPN Filter.
L’FBI ha sequestrato un server-chiave degli aggressori informatici, usato per creare la botnet globale di oltre 500.000 routers hackerati. Lo riporta il Daily Beast. Obiettivo dei G-men è analizzarlo per stilare una lista completa delle vittime delle compromissioni e studiare un modo affinché i bersagli non siano re-infettati di nuovo. Finora, secondo i ricercatori di sicurezza informatica di Cisco Talos e Symantec, gli hacker di stato hanno colpito in almeno 54 paesi da almeno dallo scorso agosto, quando l’FBI ha cominciato a indagare sul fenomeno. Il codice malevolo, peraltro è selettivo. Nel caso dell’Ucraina, presa di mira in modo diretto e particolarmente aggressivo, il malware sta infettando attivamente gli host del paese a un ritmo allarmante, utilizzando un’infrastruttura di comando e controllo (C2) dedicata.
Per Talos, gli attacchi informatici degli hacker di stato russi sono allarmanti. E i ricercatori chiedono l’aiuto di tutta la comunità per fermare la cyber warfare
La situazione dei cyber attacchi di Fancy Bear con VPN Filter è giudicata allarmante secondo Talos. Sia per la portata sia per la capacità di questa operazione di cyber warfare. “Collaborando con i nostri partner, stimiamo che il numero di dispositivi infetti sia di almeno 500.000 in almeno 54 paesi – prosegue il blog -. Il comportamento di questo codice malevolo sulle apparecchiature di rete è particolarmente preoccupante, in quanto i componenti del malware consentono il furto delle credenziali dei siti Web e il monitoraggio dei protocolli SCADA Modbus. Infine, il codice mnalevolo ha una capacità distruttiva che può rendere inutilizzabile un dispositivo infetto, il quale può essere attivato su singole macchine vittime o in massa e ha il potenziale di bloccare l’accesso a Internet a centinaia di migliaia di vittime in tutto il mondo”.
La cyber offensiva e il malware modulari sono altamente distruttivi e una minaccia espansiva
“VPN Filter è una minaccia espansiva, robusta, altamente capace e pericolosa che si rivolge a dispositivi che sono difficili da difendere – hanno aggiunto i ricercatori di sicurezza informatica di Cisco Talos, che hanno chiesto aiuto a tutta la comunità per debellare la cyber minaccia -. La sua struttura altamente modulare consente rapidi cambiamenti nell’infrastruttura operativa dell’attore, al servizio degli obiettivi di errata distribuzione, raccolta di informazioni e ricerca di una piattaforma per condurre attacchi. La sua capacità distruttiva ci preoccupa particolarmente. Ciò dimostra che l’attore (gli hacker malevoli) è disposto a masterizzare i dispositivi degli utenti per nascondere le sue tracce, andando molto oltre la semplice rimozione di elementi legati al malware”. Questo comando, inoltre, “può essere eseguito su vasta scala, rendendo potenzialmente inutilizzabili centinaia di migliaia di dispositivi, disabilitando l’accesso a Internet a centinaia di migliaia di vittime in tutto il mondo o in una regione focalizzata in cui si adatta agli scopi” degli aggressori cibernetici.
L’articolo integrale di The Daily Beast sull’attacco con il malware