¡Más de medio millón de routers infectados alrededor del mundo!

Más de 500.000 routers y dispositivos de almacenaje para consumidores (hogar y pequeñas oficinas) han sido infectados, en, al menos, 54 países, con VPNFilter, un trozo de malware altamente sofisticado, dirigido específicamente a la IoT (Internet de las cosas), y diseñado con capacidades muy versátiles para reunir inteligencia, interferir en las comunicaciones, lanzar ataques contra […]

Más de 500.000 routers y dispositivos de almacenaje para consumidores (hogar y pequeñas oficinas) han sido infectados, en, al menos, 54 países, con VPNFilter, un trozo de malware altamente sofisticado, dirigido específicamente a la IoT (Internet de las cosas), y diseñado con capacidades muy versátiles para reunir inteligencia, interferir en las comunicaciones, lanzar ataques contra otros computadores y dispositivos, y conducir operaciones de ciberataques destructivos, dado que puede, perfectamente, robar credenciales y monitorear sistemas SCADA, entre otras capacidades.

Por Daniela Carmona.

VPNFilter es un malware modular y multietapa, y ha infectado routers fabricados por Linksys, MikroTik, Netgear, TP-Link, y a dispositivos de almaceaje NAS fabricados por QNAP. Este código malicioso es uno de los poquísimos dirigidos a la IoT que puede sobrevivir a un reboot, lo que le hace ganar un acceso persistente en los dispositivos infectados, permitiendo el despliegue etapas subsiguientes del ataque. 

Una lista preliminar de los dispositivos afectados podría ser ésta:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036 y 1072
• Netgear DNG2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439
• Otros dispositivos NAS QNAP con software QTS
• TP-Link R600VPN

Si bien las infecciones comenzaron a surgir desde 2016, desde las últimas tres semanas los ataques se han intensificado drásticamente, lo cual ha incluido dos grandes golpes a dispositivos localizados en Ucrania. Dado lo fuerte del ataque, Cisco decidió dar aviso incluso antes de que el reporte de la investigación hubiese sido completado.

El investigador del grupo de ciberinteligencia Talos, William Largent, de Cisco, reporta que “podemos, con gran confianza, decir que este malware es usado para crear una infraestructura expansiva, de difícil atribución, que puede ser usada para servir a las multiples necesidades operacionales del atacante”. “

Dado que los dispositivos atacados pertenecen legítimamente a individuos o negocios, las actividades maliciosas conducidas desde los dispositivos infectados  podrían atribuirse, erróneamente, a quienes sean víctimas del atacante. Las capacidades construidas en las varias etapas y plugins del malware son extremadamente versátiles y podrían permitir al atacante tomar ventaja de los dispositivos infectados de múltiples formas”.

VPNFilter obtiene su nombre a partir del directorio que crea en los dispositivos para esconder sus archivos. A saber, /var/run/vpnfilterw. Aún no se ha encontrado evidencia de que el malware utilice ningún tipo de zeroday. En vez, el malware apunta a dispositivos aun expuestos a vulnerabilidades ya conocidas o que tengan las credenciales por defecto en sus configuraciones. Contiene un sniffer que colecta credenciales, se comunica a través de Tor, y, según Largent, “tiene el potencial de cortar el acceso a internet a cientos de miles de víctimas alrededor del mundo”, o en regiones específicas, dependiendo del objetivo particular. Considerando la complejidad del ataque, se cree que fue desarrollado por un grupo de ofensiva avanzado. Cuando antes lo describimos como un “malware modular y multietapa”, nos referíamos a que en la primera etapa del ataque, infecta a dispositivos corriendo Busybox y firmware basado en Linux y es compilado para varias arquitecturas de CPU. El propósito principal es localizar algún servidor controlado por el atacante que luego reciba la segunda etapa del ataque.

La etapa 1, entonces, localiza al servidor descargando una imagen desde photobucket(.)com y extrayendo una dirección IP desde seis valores integrales usados para latitud y longitud GPS almacenados en el campo EXIF. Si es que el download desde photobucket falla, la etapa 1 intentará descargar la imagen desde toknowall(.)com. Si esto falla, la etapa 1 del ataque abre un listener que espera a que un paquete específico que el atacante determine, gatille el ataque. El listener checkea su IP pública desde api.ipify(.)org y lo almacena paraíso posterior. Esta, la “etapa 1” del ataque, persiste a pesar de que el dispositivo sea reiniciado.

La “etapa 2” del ataque fue descrita por Cisco como una “plataforma “caballito de batalla” de recolección de inteligencia”, que realiza recolección de archivos, ejecución de comandos, exfiltración de datos y manejo de dispositivos. Algunas versiones de la etapa 2 incluso poseen capacidades de autodestrucción que funcionan sobreescribiendo parte crítica del firmware del dispositivo y luego reiniciado el dispositivo, dejándolo completamente inutilizable. En Cisco creen que incluso sin este comando de autodestrucción, el malware habilita a los atacantes para “matar” manualmente al dispositivo.

La etapa 3 del ataque contiene al menos dos módulos estilo plugin. Uno es un sniffer que colecta el tráfico que pasa por el dispositivo, lo cual incluye credenciales de websites y protocolos Modbus de máquinas SCADA. El otro, permite que la etapa 2 del ataque se comunique mediante Tor. Se cree que el ataque contiene más plugins aún por descubrir.

Si bien Cisco no ha adjudicado directamente el ataque a los rusos, sí explican que éste contiene una función relativa al cifrado RC4 idéntico a uno hallado en un malware denominado BlackEnergy, que ha sido usado en varios ataques atribuidos al gobierno ruso. Algunos atribuyen el malware al grupo de hackers rusos Fancy Bear.

Este ataque, bastante complejo y avanzado, es preocupante debido a que los routers y dispositivos NAS no reciben ni protección antivirus ni de firewalls, especialmente si son dirigidos a los consumidores y, por ende, están directamente conectados a la internet. Si bien se desconoce el método exacto de infección, sí se sabe que la mayoría de los dispositivos que han sido víctimas de VPNFilter tienen exploits conocidos y/o tienen las credenciales que vienen instaladas por defecto. Dado que ni siquiera hay forma aún de determinar qué dispositivos están infectados, lo que se está aconsejando es hacer un “reseteo de fábrica”, ya que esto detendría, la etapa 2 y 3 del ataque, al menos, hasta que la etapa 1 del ataque logre reinstalarlas nuevamente. Los usuarios tienen que cambiar todas las contraseñas por defecto en sus dispositivos, asegurarse de que en ellos estén instaladas las últimas versiones de sus firmwares y, cuando sea posible, deshabitar la administración remota. Dado que estas medidas no aseguran la prevención del ataque, si tu router está en la lista de dispositivos afectados, nosotros te recomendamos que actualices tu equipo a alguno que no sea vulnerable a este ataque.

Los más recientes desarrollos de la investigación indican que el FBI ha hecho un “sinkholing”, esto es, tomar control de un servidor de comando y control. En este caso, el FBI ha tomado control de ToKnowAll(.)com, lo que le permite a la agencia monitorear las direcciones IP de los dispositivos infectados con VPNFilter. Esto permite que se cierre el canal secundario del ataque, en teoría, y le otorga información adicional acerca del ataque al FBI. Se sabe que en agosto del año pasado el FBI tuvo acceso a un router infectado con VPNFilter de un residente de Pittsburgh, Pennsylvannia, quien voluntariamente permitió que el Bureau monitoreara el tráfico del router, lo cual fue usado para entender cómo funcionaba el malware. Sólo nueve meses después la agencia solicitó una orden para requisar el dominio involucrado. El FBI recomienda, de todos modos, resetear el router con la configuración de fábrica y actualizar el software.