A finales de mayo empezaba a salir en todos los medios una nueva amenaza que fue bautizada como “VPN FILTER”. En aquel momento, el grupo de seguridad Cisco TALOS alertó que un malware estaba infectando una gran cantidad de routers domésticos con el supuesto objetivo de convertirlos en una gran botnet.

En pocos días el mismo grupo de seguridad alertaba que el número de dispositivos ya ascendía a más de 500.000 dispositivos por todo el mundo, afectando a una gran diversidad de fabricantes como Linksys, Netgear, TP-Link, Mikrotik, entre otros.

Es bien sabido por todos que nuestros equipos (routers) están constantemente recibiendo ataques por mecanismos automáticos que buscan en estos, debilidades (vulnerabilidades) que puedan ser explotadas para ganar acceso a los dispositivos y por tanto tomar el control.

A medida que pasa el tiempo, las amenazas evolucionan y se vuelven más sofisticadas, casi al mismo ritmo que aparecen nuevas vulnerabilidades. Por esta razón, hoy en día, es indispensable mantener actualizados todos nuestros dispositivos.

Y es que, da igual que hablemos de un entorno doméstico o profesional, la ciberseguridad debe estar presente en la mente de todos.

¿Puedo ser yo un objetivo de ataque?

Esta es una pregunta que seguro a mucha gente la rondará la cabeza: es una realidad, y es sabido por todos los equipos de seguridad que, tanto los routers domésticos como los dispositivos NAS de fabricantes como QNAP o similares están siendo el objetivo de los ciberdelincuentes.

Todos nosotros como usuarios de tecnología debemos mantener nuestros equipos actualizados a la última versión y sobre todo utilizar siempre contraseñas robustas dejando de lado las contraseñas por defecto que utilicen los dispositivos cuando los instalamos.

¿Cómo infecta VPNFilter a los dispositivos?

De la forma más sencilla, muchos usuarios suelen dejar sus dispositivos con las credenciales de acceso por defecto, y en otras ocasiones porque los dispositivos no están actualizados a las últimas versiones, de esta forma VPNFilter aprovecha vulnerabilidades en el firmware para explotarlas y conseguir el control.

Según información de los investigadores, a día de hoy no se tiene constancia de que se esté explotando una vulnerabilidad de día cero (0-DAY), sino que se están explotando vulnerabilidades ampliamente conocidas.

Del informe que emite CISCO TALOS se sabe que el malware es modular y está construido para funcionar en varias fases.

En la primera fase, el malware es capaz de resistir ante un reinicio, con lo cual se deduce que existen mecanismos para garantizar la persistencia. Por esta razón no puede considerarse como un malware típico creado para dispositivos IoT (Internet of things) ya que casi todos los que se han estudiado y que tienen como objetivo este tipo de dispositivos no disponen de mecanismos que garanticen persistencia.

Una vez finalizada la primera etapa, el malware mediante varios mecanismos tratará de determinar su servidor C2C (Command & Control) del cual obtendrá las instrucciones para pasar a ejecutar la segunda fase.

¿A qué riesgos me enfrento si mi equipo se viese comprometido?

Los investigadores de Cisco TALOS, han compartido con todos los detalles técnicos de su investigación.

Es en la fase 2 cuando el malware instalado en el dispositivo se dedica a realizar ataques de MitM (Man in the middle) interceptando toda comunicación entre la red del usuario e Internet, para recopilar información que es enviada a los servidores de Command & Control (C2C).

Los investigadores están estudiando una nueva fase, denominada FASE 3 (ssler), en la que el malware es capaz de realizar ataques de MitM al tráfico HTTPS, para, de esta forma, interceptar credenciales de los usuarios.

El pasado 6 de junio se detectó un nuevo módulo llamado (dstr) que sería capaz de eliminar el rastro de los módulos de la fase 2 para posteriormente bloquear el dispositivo.

Quizás existan más módulos que los investigadores todavía no han alcanzado a detectar y analizar, por lo que seguiremos atentos a novedades en este sentido.

¿Cuál es el objetivo de este malware?

El objetivo final de este malware todavía es desconocido, si bien al principio se pensaba que era un malware destinado a obtener el control de una gran cantidad de dispositivos para poder realizar ataques de denegación de servicio (DDoS). Aunque quizás también pueda ser usado para encubrir otros tipos de ataques, lo que se denominan ataques de falsa bandera.

¿Qué dispositivos se sabe que están afectados por VPNFilter?

Hasta la fecha, y según las fuentes consultadas, VPNFilter es capaz de infectar routers tanto domésticos (SO-HO) como routers empresariales de PYMES de fabricantes tan dispares como Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, TP-Link, Ubiquiti, ZTE, etc. También pueden ser objetivo los equipos NAS de fabricantes como QNAP.

Asus

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U

D-Link

  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N

Huawei

  • Huawei HG8245

Linksys

  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Linksys WRVS4400N

Mikrotik

  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5

Netgear

  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50

QNAP

  • NAP TS251
  • QNAP TS439 Pro

TP-Link

  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N

Ubiquiti

  • Ubiquiti NSM2
  • Ubiquiti PBE M5

Recomendaciones

En muchas páginas web podemos ver cómo una de las recomendaciones que se hacen a los usuarios es reiniciar el router, si bien las últimas informaciones que arrojan los investigadores indican que con esta acción no sería suficiente. Siempre que sea posible se deberían seguir las siguientes recomendaciones:

  • Deshabilitar la administración remota
  • Cambiar las contraseñas por defecto
  • Desactivar los servicios que no estemos utilizando
  • Actualizar nuestros dispositivos a la versión más actual de firmware posible

Referencias