O endereço que terá levado à contaminação de mais de 500 mil routers e servidores de armazenamento de dados de rede (NAS) com os códigos maliciosos VPNFilter foi desmantelado pelos operacionais do FBI. O bloqueio do domínio de Internet ToKnowAll.com resulta de uma ordem de tribunal enviada para a Verisign.
Desde agosto que as autoridades dos EUA têm vindo a estudar o contágio de routers e NAS que se encontram dispersos por 54 países. O facto de, a partir de 8 de maio, ter sido detetado um grande crescimento no número de máquinas infetadas na Ucrânia levou os peritos a admitirem que o VPNFilter se tenha disseminado com o propósito de atacar este país eslavo. Já no passado recente, a Ucrânia sofreu ataques de grandes proporções contra infraestruturas críticas. Atualmente, as províncias de Lugansk e Donetsk são dominadas por grupos separatistas de maioria russa.
A par do contexto geopolítico, há mais um dado que leva a crer que o governo russo poderá estar na origem deste contágio. De acordo com o The Daily Beast, o contágio terá sido desencadeado por um grupo de ciberatacantes com a denominação Sofacy. Alegadamente, esta é apenas uma das denominações usadas pelo grupo que já se apresentou ao mundo como Fancy Bear, Sednit, ou Pawn Storm. No currículo deste grupo suspeito de colaborar com as autoridades russas, figuram também os ciberataques à Convenção do Democrata de 2016, que terá levado à fuga de informação sigilosa do staff da candidata presidencial Hillary Clinton.
De acordo com os peritos da Cisco, o VPNFilter distingue-se por ser dos poucos códigos maliciosos direcionados contra a denominada Internet das Coisas, que dispõe de um módulo que consegue reativar-se depois de um reboot dos dispositivos infetados. O domínio ToKnowAll.com teria a função de operar como servidor de backup, que acrescenta módulos nas máquinas já infetadas. Os hackers também recorreram a outro estratagema que permite que, através de denominados “escutas”, se instalem, manualmente, mais módulos maliciosos em máquinas infetadas.
O desmantelamento do ToKnowAll.com pode ser considerado um grande revés para quem está por trás do VPNFilter – mas não deverá terminar com a ameaça em definitivo. Através do site, o FBI pode descobrir mais informação sobre os reais propósitos desta rede de máquinas infetadas e, eventualmente, limitar a capacidade de contágio, mas não poderá assumir o controlo total deste exército de máquinas infetadas, uma vez que este malware é composto por diferentes módulos.
