El FBI ha logrado tomar el control de un servidor clave en una botnet creada por un grupo de hackers rusos llamado Fancy Bear. El malware responsable de la infección, llamado VPNFilter, afecta al menos a unos 500.000 routers y NAS en todo el mundo.
Los expertos en seguridad de Cisco y de Symantec fueron los responsables de detectar esa amenaza global que según sus datos está presente en 54 países. Dispositivos de Linksys, MikroTik, NetGear y TP-Link están afectados por el problema, pero el golpe de efecto del FBI le ha dado la vuelta a la situación.
Malware dirigido a tu router, no a tu PC
VPNFilter es la base de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha por Talos, la división de inteligencia de ciber-seguridad de Cisco. La gran mayoría de equipos están conectados directamente a Internet (sin mecanismos de seguridad intermedios), y coordinados a través de una red TOR privada (red anónima de dispositivos).
Como explican en Cisco, los atacantes podrían mediante esta botnet compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un ‘kill switch’ (interruptor de apagado), también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales.
Ucrania ha sufrido el mayor pico de infecciones, con un elevado incremento durante la primera quincena de mayo. El malware, denominado ‘VPNFilter’ al instalarse en dicho directorio, tiene similitudes de código con BlackEnergy, un malware que ya fue responsable de múltiples ataques a gran escala a dispositivos en Ucrania. Este mismo grupo de hackers logró interferir en la campaña electoral de Hillary Clinton en 2016.
El FBI contraataca
La detección del malware en un router doméstico en Pittsburgh permitió al FBI analizar el malware y tratar de buscar puntos débiles. Los encontraron: si la víctima reiniciaba el router infectado, los plugins maliciosos desaparecían aunque el código base del malware seguía presente.
El análisis de ese código permitió desvelar su funcionamiento: en primer lugar comprobaba imágenes en Photobucket que ocultaban información en sus metadatos, y si no las encontraba se conectaba a un punto de control auxiliar en la URL ToKnowAll[.]com.
Eso le dio al FBI la pista a seguir: pidieron una orden judicial para tomar control de dicho dominio, lo que permitió al FBI meterse de lleno en las operaciones de esta botnet. Con esa toma de control el FBI pudo evitar buena parte de la amenaza: "el malware no es persistente y no sobrevivirá si se reinicia el router", explicaban los expertos de Symantec.
Gracias al acceso a ese dominio los expertos del FBI están recolectando las direcciones IP de todos los routers afectados que están "llamando a casa", algo que permitirá erradicar el problema. En Symantec destacaban que aunque algunos proveedores de internet pueden reiniciar los routers de forma remota, también están enviando mensajes a los afectados para reiniciar sus dispositivos.
La orden judicial solo permite al FBI recolectar metadatos como la dirección IP de la víctima, pero no el contenido de las comunicaciones que se realizan ni se realizaron en el pasado. "No hay datos que se filtren desde esos routers al dominio que ahora está controlado por la agencia, explicaba Vikram Thakur, director técnico de Symantec.
¿Cómo solucionar el problema?
Como revelan en Symantec, los usuarios de los dispositivos afectados deberían reiniciar esos dispositivos en cuanto les sea posible. Si lo hacen se eliminarán los componentes destructivos de VPNFilter, algo que hace recomendable (comos siempre) la actualización a nuevas versiones del firmware de esos dispositivos que corrigen el problema.
Si queremos estar seguros del todo, otra opción es hacer un "hard reset" del dispositivo, que hace que éste se inicie con la configuración de fábrica. Esta acción, eso sí, elimina detalles de configuración y credenciales que hubiésemos almacenado, y de las que debemos tener una copia de seguridad.
Los routers y NAS afectados por el problema son los siguientes según Symantec y Cisco son los siguientes:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS for Cloud Core Routers: Versiones 1016, 1036, and 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Otros dispositivos NAS de QNAP con el software QTS
- TP-Link R600VPN
Más información | DoJ
Ver 6 comentarios
6 comentarios
Zero
El artículo es muy vago y no deja las cosas muy claras, os recomiendo leeros la fuente original: https://blog.talosintelligence.com/2018/05/VPNFilter.html
Por cierto, sí es persistente. Al reiniciar sigue estando, tal y como dice la fuente original, la fase 1 del virus se encarga de asegurar la persistencia de éste en el sistema mediante el típico crontab y no hace otra cosa, al extraer las ips de photobucket o el dominio auxiliar ya se descargaba el virus real que quedaba a la escucha para ser controlado por el C&C. Por lo que es necesario hacer sí o sí hard reset.
También según los de Cisco, autores de la investigación y artículo original, no se sabe bien (o a lo mejor lo saben ya pero aún no lo ha publicado) cómo metían el virus dentro, pero parece ser que era un exploit para una vulnerabilidad no 0-day, por lo que lo más seguro es que esté parcheada en las últimas versiones, no me preocuparía mucho:
"[...] At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities. Since advanced threat actors tend to only use the minimum resources necessary to accomplish their goals, we assess with high confidence that VPNFilter required no zero-day exploitation techniques. [...]"
Por último, los proveedores (netgear en mi caso) recomiendan deshabilitar el acceso remoto en cualquier caso.
Un saludo.
jocaru
Para los Mikrotik, nada de qué preocuparse si tienes una actualización más reciente que la de marzo de 2017.
https://forum.mikrotik.com/viewtopic.php?f=21&t=134776
De todas formas no afecta a esos modelos en concreto de hardware, si no que afecta a RouterOS (que también se puede instalar en x86), por lo que deberíais poner en la lista RouterOS < 6.38.5 / 6.37.5 (bugfix) en vez de los CCR1016, 1036 y 1072