Acerca del malware VPNFilter
Los investigadores de Cisco Talos han marcado un enorme botnet de enrutadores pequeños y de oficina doméstica y dispositivos NAS, capaces de recopilar comunicaciones y datos y lanzar ataques cibernéticos.
La tarea principal del malware de la etapa 1 es persistir a través de reinicios y descubrir la dirección IP del servidor de implementación de la etapa 2 actual.
El malware de la etapa 2 se descarga de esos servidores (uno de los cuales ha sido capturado por el FBI ) y es capaz de recopilar archivos, exfiltrar datos, administrar el dispositivo y ejecutar el código en él.
Algunas versiones también tienen la capacidad de sobrescribir una parte crítica del firmware del dispositivo y reiniciar el dispositivo, lo que lo hace inutilizable. Aunque, como señalaron los investigadores, es más que probable que el agente de amenaza que ejecuta la botnet pueda implementar este comando de autodestrucción en la mayoría de los dispositivos que controlan.
Los módulos de la etapa 3 son efectivamente complementos para el malware de la etapa 2. Uno puede oler y recoger el tráfico que pasa a través del dispositivo (incluidas las credenciales del sitio web), y otro permite que el malware se comunique con el servidor de C & C a través de Tor. Los investigadores creen que hay otros complementos, pero hasta ahora solo han podido descubrirlos y analizarlos.
La capacidad de recopilación de datos podría usarse para evaluar el valor potencial de la red a la que sirve el dispositivo.
«Si se considera que la red tiene información de posible interés para el actor amenazante, puede optar por seguir recopilando el contenido que pasa a través del dispositivo o propagarse a la red conectada para la recolección de datos», señalaron los investigadores.
«En el momento de esta publicación, no hemos podido adquirir un complemento de tercera etapa que permita una mayor explotación de la red atendida por el dispositivo. Sin embargo, hemos visto indicios de que sí existe, y evaluamos que es muy probable que un actor tan avanzado incluya naturalmente esa capacidad en malware que es así de modular «.
Acerca de la botnet VPNFilter y probablemente el / los botmaster (es)
La botnet ha estado creciendo lentamente desde al menos 2016 y actualmente consiste en al menos 500,000 dispositivos infectados en unos 54 países alrededor del mundo.
«Los dispositivos conocidos afectados por VPNFilter son los equipos de redes Linksys, MikroTik, NETGEAR y TP-Link en el espacio de la oficina pequeña y doméstica (SOHO), así como los dispositivos de almacenamiento conectado a la red (NAS) de QNAP. Ningún otro proveedor, incluido Cisco, ha sido infectado por VPNFilter, pero nuestra investigación continúa «, compartieron .
«El tipo de dispositivos dirigidos por este actor es difícil de defender. Con frecuencia se encuentran en el perímetro de la red, sin un sistema de protección contra intrusos (IPS), y generalmente no tienen un sistema de protección basado en host disponible, como un paquete de antivirus (AV). No estamos seguros de la vulnerabilidad específica utilizada en un caso determinado, pero la mayoría de los dispositivos dirigidos, especialmente en versiones anteriores, tienen exploits públicos conocidos o credenciales predeterminadas que hacen que el compromiso sea relativamente sencillo «.
Señalaron que su investigación está lejos de ser completa, pero se hicieron públicas porque temen que la botnet pronto sea utilizada para ataques contra objetivos en Ucrania.
«El código de este malware se superpone con las versiones del malware BlackEnergy, que fue responsable de múltiples ataques a gran escala dirigidos a dispositivos en Ucrania. Si bien esto no es definitivo de ninguna manera, también hemos observado a VPNFilter, un malware potencialmente destructivo, que infecta activamente a los hosts de Ucrania a un ritmo alarmante, utilizando una infraestructura de comando y control (C2) dedicada a ese país. Pesando juntos estos factores, sentimos que era mejor publicar nuestros hallazgos hasta ahora antes de completar nuestra investigación «.
La similitud con BlackEnergy y el enfoque reciente en los hosts ucranianos parecen apuntar a un actor respaldado por Rusia que opera la botnet, aunque es imposible saberlo con certeza.
«Este es un malware muy sofisticado y de múltiples etapas que permite a los atacantes espiar todo el tráfico de red y desplegar comandos destructivos a dispositivos industriales en redes de infraestructura críticas», comentó Phil Neray, vicepresidente de Ciberseguridad Industrial en CyberX.
«Los actores de amenazas rusos han utilizado anteriormente tácticas similares en ataques cibernéticos en la red eléctrica ucraniana. Aunque el reciente estallido de actividad también apunta a Ucrania, el malware explota vulnerabilidades en dispositivos que se usan ampliamente en todo el mundo, lo que significa que la misma infraestructura de ataque podría utilizarse fácilmente para atacar redes de infraestructura críticas en los EE. UU., El Reino Unido, Alemania y cualquier otro. otros países vistos como enemigos de los atacantes «.
¿Qué hacer?
Cisco Talos ha creado e implementado más de 100 firmas Snort para las vulnerabilidades conocidas públicamente que afectan a los dispositivos dirigidos por VPNFilter, y ha comenzado a incluir en la lista negra los dominios asociados con la amenaza.
La compañía también ha notificado a los fabricantes de esos dispositivos acerca de la amenaza y ha compartido su investigación con la policía internacional y con Cyber Threat Alliance.
Los propietarios de los dispositivos afectados deben reiniciarlos para eliminar los elementos de malware no persistentes y luego restablecerlos a los valores predeterminados de fábrica, lo que debería eliminar el malware persistente de la etapa 1.
Podrían ponerse en contacto con el fabricante y obtener instrucciones sobre cómo asegurarse de que los dispositivos se actualicen a las versiones más recientes de firmware / software. Cambiar las credenciales predeterminadas también es una buena idea, y también lo es desactivar la administración remota del dispositivo.
Debido a que no existe una manera fácil de determinar si un dispositivo se ha visto comprometido por el malware VPNFilter o no, los investigadores de Cisco aconsejan a todos los propietarios de los dispositivos SOHO y NAS que sigan estos pasos.
Fuente: Helpnetsecurity.com