VPNFilter

Virus malicioso

VPNFilter es un malware diseñado para infectar diferentes routers. Hasta el 28 de mayo de 2018, se estima que pudo haber afectado aproximadamente entre 500,000 y 1,000,000 de routers en todo el mundo. Este malware puede robar datos personales y, además, implementa un "kill switch", un sistema diseñado para destruir remotamente el router y puede resistir un proceso de reinicio del dispositivo.[1]​ Según el FBI, este malware pudo ser creado por el grupo de hackers ruso Fancy Bear.[2][3]

VPNFilter
Información general
Tipo de programa malware

Modo de operación del malware

editar

VPNFilter está programado para atacar diferentes routers, y se considera que está específicamente diseñado para infectar dispositivos de redes que usan el protocolo Modbus tanto en las comunicaciones como para control industrial de hardware - utilizado en las fábricas y almacenes.[4]

Este malware usa las credenciales por defecto de los routers para conectar e infectar los dispositivos, sin embargo, la infección puede ser evitada usando medidas de seguridad estándar, como por ejemplo, cambiar las claves de acceso por defecto.

El proceso de infección del dispositivo ocurre en múltiples etapas:

  1. El malware crea un virus en el dispositivo y añade al crontab una lista de tareas que se ejecutarán a intervalos regulares por el planificador de tareas del cron de Linux. De este modo, el malware obtiene acceso al dispositivo y puede reiniciar la infección aunque se corrijan las etapas siguientes.
  2. Esta etapa representa el cuerpo de la infección, y consiste en la ejecución del código asociado a las instrucciones del crontab.
  3. El malware ejecuta unas instrucciones de tipo "especial", implementadas en diferentes módulos con funciones específicas, como espiar el control industrial de los dispositivos (Modbus SCADA) o utilizar la red anónima Tor para comunicarse con el servidor.[4]

Efectos del malware

editar

VPNFilter espía los datos enviados a través de una red donde al menos uno de los dispositivos está infectado, almacenando información de carácter sensible, como contraseñas y nombres de usuario, e incluso datos de control que pueden ser utilizados para futuros ataques a la red.

Mitigar los efectos del malware

editar

Tanto Cisco como Symantec sugieren restaurar a los valores de fábrica del dispositivo si existen indicaciones de que este puede haber sido infectado. Normalmente, este proceso se consigue utilizando un objeto pequeño y puntiagudo para pulsar un botón de reinicio durante unos 10 a 30 segundos (dependiendo del modelo). Una vez reiniciado a sus valores de fábrica, las claves del dispositivo volverán a su configuración por defecto, por lo que deben ser actualizados inmediatamente para evitar nuevas infecciones.[4]

Dispositivos afectados

editar

El virus inicial que instala el malware VPNFilter ataca únicamente a dispositivos que ejecutan un firmware basado en Busybox en Linux compilado para procesadores específicos, no incluyendo los ordenadores de sobremesa linux.[5]

Los siguientes routers han sido reconocidos como potencialmente sensibles al ataque hasta la fecha:[6][1][7]

Dispositivos Asus:

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

Dispositivos D-Link:

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Dispositivos Huawei:

  • HG8245

DIspositivos Linksys:

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Dispositivos Mikrotik:

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5
  • Routers Mikrotiken sus versiones hasta 6.38.5[8]

Dispositivos Netgear:

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

Dispositivos QNAP:

  • TS251
  • TS439 Pro
  • Otros dispositivos QNAP NAS que utilicen el software QTS

Dispositivos TP-Link:

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Dispositivos Ubiquiti:

  • NSM2
  • PBE M5

Dispositivos Upvel:

Dispositivos ZTE:

  • ZXHN H108N

Epidemiología

editar

Según Cisco Talos, el malware VPNFilter podría haber infectado hasta 500,000 dispositivos en el mundo,[5]​ en 54 países diferentes, aunque se estima que la mayoría de ataques se habrían concentrado en Ucrania.

Investigación del FBI

editar

El FBI destinó múltiples recursos a una investigación que culminó con el cierre del dominio toknowall.com, el cual se considera que podía haber sido utilizado para redirigir distintas peticiones de la etapa 1 del malware, permitiendo al virus recuperar el código necesario para proceder a las etapas 2 y 3.[3]

Alentar a la reinfección

editar

El 25 de mayo de 2018, el FBI sugirió que bastaría con que los usuarios reiniciaran el dispositivo, de manera que las etapas 2 y 3 se eliminarían del dispositivo, aunque dejando la etapa 1 activa. De este modo, los dispositivos infectados necesitarían conectar al dominio requisado para infectar de nuevo al dispositivo, lo que ayudaría al FBI a descubrir los dispositivos infectados.[9][10][2]

Referencias

editar
  1. Aunque se ha demostrado que pueden ser infectados, aún se desconocen los dispositivos específicos que susceptibles de ataque.

Referencias

editar
  1. a b «VPNFilter state-affiliated malware pose lethal threat to routers». SlashGear (en inglés estadounidense). 24 de mayo de 2018. Consultado el 31 de mayo de 2018. 
  2. a b Kevin Poulsen (23 de mayo de 2018). «Exclusive: FBI Seizes Control of Russian Botnet». Daily Beast. 
  3. a b FBI to all router users: Reboot now to neuter Russia's VPNFilter malware
  4. a b c VPNFilter: New Router Malware with Destructive Capabilities
  5. a b «Hackers infect 500,000 consumer routers all over the world with malware». Ars Technica (en inglés estadounidense). Consultado el 31 de mayo de 2018. 
  6. «VPNFilter: New Router Malware with Destructive Capabilities» (en inglés). Consultado el 31 de mayo de 2018. 
  7. William Largent (6 de junio de 2018). «VPNFilter Update - VPNFilter exploits endpoints, targets new devices» (en inglés). 
  8. «VPNfilter official statement - MikroTik». forum.mikrotik.com (en inglés británico). Consultado el 31 de mayo de 2018. 
  9. Dan Goodin (25 de mayo de 2018). «FBI tells router users to reboot now to kill malware infecting 500k devices». Ars Technica. 
  10. Dan Goodin (24 de mayo de 2018). «Hackers infect 500,000 consumer routers all over the world with malware». Ars Technica.