Il Dipartimento di Giustizia degli Stati Uniti ha dichiarato mercoledì di aver sequestrato un dominio Internet che dirigeva una pericolosa botnet di mezzo milione di router di rete domestica e aziendale infetti, controllato da hacker ritenuti legati all'intelligence russa.

La mossa mirava a smantellare un'operazione profondamente radicata nelle reti di computer di piccole e medie dimensioni che potrebbe consentire agli hacker di prendere il controllo dei computer e di rubare facilmente i dati.

Il Dipartimento di Giustizia ha affermato che la botnet "VPNFilter" è stata creata da un gruppo di hacker chiamato variamente APT28, Tempesta di pedoni, verme della sabbia, Fancy Bear e il gruppo Sofacy.

Il gruppo è accusato di attacchi informatici a numerosi governi, industrie chiave delle infrastrutture come reti elettriche, l'Organizzazione per la sicurezza e la cooperazione in Europa, l'Agenzia mondiale antidoping, e altri corpi.

Le agenzie di intelligence statunitensi affermano anche di essere state coinvolte nell'operazione per hackerare e rilasciare informazioni dannose sul Partito Democratico durante le elezioni presidenziali statunitensi del 2016, e ha progettato una serie di interruzioni della rete informatica in Ucraina.

"Secondo i ricercatori sulla sicurezza informatica, il Sofacy Group è un gruppo di spionaggio informatico che si ritiene abbia avuto origine dalla Russia, ", ha detto il Dipartimento di Giustizia in un deposito del tribunale.

"Probabilmente operativo dal 2007, è noto che il gruppo si rivolge in genere al governo, militare, organizzazioni di sicurezza, e altri obiettivi di valore di intelligence, attraverso una varietà di mezzi, " ha detto.

Il fascicolo della giustizia non ha detto chi c'era dietro il gruppo Sofacy, ma l'intelligence statunitense in passato l'ha collegata all'agenzia di intelligence militare russa GRU, e numerosi gruppi di sicurezza dei computer privati ​​hanno effettuato la stessa connessione.

Nell'azione di mercoledì, il Dipartimento di Giustizia ha affermato di aver ottenuto un mandato che autorizza l'FBI a sequestrare un dominio di computer che fa parte del sistema di comando e controllo della botnet VPNFilter.

La botnet prende di mira i router domestici e dell'ufficio, attraverso il quale può inoltrare ordini dai controller della botnet e intercettare e reindirizzare il traffico verso di loro, praticamente inosservato dagli utenti di una rete.

In un rapporto pubblicato in parallelo all'annuncio della giustizia, Il gigante delle apparecchiature di rete Cisco ha affermato che VPNFilter ha infettato almeno 500, 000 dispositivi in ​​almeno 54 paesi.

Ha preso di mira marche di router popolari come Linksys, MikroTik, NETGEAR e TP-Link.

"Il comportamento di questo malware sulle apparecchiature di rete è particolarmente preoccupante, poiché i componenti del malware VPNFilter consentono il furto delle credenziali del sito Web, "Cisco ha detto.

Ha anche "una capacità distruttiva che può rendere inutilizzabile un dispositivo infetto, che può essere attivato sulle singole macchine delle vittime o in massa".

Sia Justice che Cisco hanno affermato che stavano rilasciando i dettagli del problema prima di aver trovato un forte, correzione permanente. Justice ha affermato che prendendo il controllo di uno dei domini coinvolti nell'esecuzione di VNPFilter, darà ai proprietari di router infetti la possibilità di riavviarli, costringendoli a iniziare a comunicare con il dominio di comando ormai neutralizzato.

La vulnerabilità rimarrà, Giustizia ha detto, ma la mossa darà loro più tempo per identificarsi e intervenire in altre parti della rete.

© 2018 AFP