Hace unas semanas, los expertos en seguridad de la información
advirtieron sobre un malware peligroso llamado VPNFilter. Al final resultó que, el objetivo principal de este malware es enrutadores de varios fabricantes. Uno de los primeros en VPNFilter fue un equipo
de expertos en seguridad de información
de Cisco Talos .
Los desarrolladores mejoran constantemente el malware. Recientemente, se ha descubierto un nuevo módulo que utiliza el
tipo de ataque man-in-the-middle con respecto al tráfico entrante. Los atacantes pueden modificar el tráfico que pasa por el enrutador. También pueden redirigir cualquier información a sus servidores sin ningún problema. El módulo de virus se llama ssler.
Además de modificar el tráfico entrante, ssler también puede transferir los datos personales de la víctima a sus creadores. Estas pueden ser contraseñas de varios recursos que los ciberdelincuentes luego usan para diferentes propósitos.
Para evitar el robo de información personal, generalmente se usa el cifrado TLS, que el malware puede omitir. Esto se hace "degradando" las conexiones HTTPS al tráfico HTTP, que no está protegido por nada. Luego, se reemplazan los encabezados de solicitud, lo que sirve como señal de que el punto de acceso es vulnerable. Ssler modifica específicamente el tráfico de varios recursos, incluidos Google, Facebook, Twitter y Youtube. El hecho es que estos servicios proporcionan protección adicional. Por ejemplo, Google redirige el tráfico HTTP a los servidores HTTPS. Pero el módulo le permite omitir esta protección, de modo que los atacantes reciban tráfico sin cifrar.
Desde el momento en que se descubre un virus, los expertos en seguridad de la información
están explorando sus capacidades . Ahora resultó que era más peligroso de lo que se pensaba. Anteriormente, por ejemplo, los expertos de Cisco afirmaban que la tarea principal de los atacantes era infectar los dispositivos de red en las oficinas de la empresa y en las casas de las víctimas. Quizás para formar una botnet. Pero ahora resultó que eran los usuarios, o más bien, sus datos, el objetivo principal.
“Inicialmente, cuando descubrimos el virus, creíamos que fue creado para implementar varios tipos de ataques a la red. Pero resultó que esta no es en absoluto la tarea principal y la posibilidad de malware. Fue creado principalmente para robar datos de usuarios y modificar el tráfico. Por ejemplo, un virus puede cambiar el tráfico de tal manera que un usuario del banco cliente verá la misma cantidad en su cuenta. Pero, de hecho, el dinero no ha estado allí por mucho tiempo ”, dijo el informe de expertos en ciberseguridad.
Curiosamente, la mayoría de los dispositivos infectados se encuentran en / en Ucrania. Las medidas de protección como
HTTP Strict Transport Security no son muy comunes aquí, por lo que los datos del usuario están en riesgo. Pero en otros países hay problemas, por ejemplo, en los EE. UU. Y Europa occidental, muchos dispositivos que son moralmente obsoletos no admiten trabajar con HTTPS, mientras continúan usando HTTP.
Anteriormente se informó que los modelos de enrutadores más vulnerables para este virus son dispositivos fabricados por ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE. De hecho, la gama de dispositivos vulnerables al virus es mucho más amplia. Esto, incluidos los modelos de Linksys, MikroTik, Netgear y TP-Link.
Lista completa de dispositivos vulnerables.Asus
RT-AC66U (nuevo)
RT-N10 (nuevo)
RT-N10E (nuevo)
RT-N10U (nuevo)
RT-N56U (nuevo)
RT-N66U (nuevo)
D-Link:
DES-1210-08P (nuevo)
DIR-300 (nuevo)
DIR-300A (nuevo)
DSR-250N (nuevo)
DSR-500N (nuevo)
DSR-1000 (nuevo)
DSR-1000N (nuevo)
Huawei:
HG8245 (nuevo)
Linksys:
E1200
E2500
E3000 (nuevo)
E3200 (nuevo)
E4200 (nuevo)
RV082 (nuevo)
WRVS4400N
Mikrotik:
CCR1009 (nuevo)
CCR1016
CCR1036
CCR1072
CRS109 (nuevo)
CRS112 (nuevo)
CRS125 (nuevo)
RB411 (nuevo)
RB450 (nuevo)
RB750 (nuevo)
RB911 (nuevo)
RB921 (nuevo)
RB941 (nuevo)
RB951 (nuevo)
RB952 (nuevo)
RB960 (nuevo)
RB962 (nuevo)
RB1100 (nuevo)
RB1200 (nuevo)
RB2011 (nuevo)
RB3011 (nuevo)
RB Groove (nuevo)
RB Omnitik (nuevo)
STX5 (nuevo)
Netgear:
DG834 (nuevo)
DGN1000 (nuevo)
DGN2200
DGN3500 (nuevo)
FVS318N (nuevo)
MBRN3000 (nuevo)
R6400
R7000
R8000
Wnr1000
Wnr2000
WNR2200 (nuevo)
WNR4000 (nuevo)
WNDR3700 (nuevo)
WNDR4000 (nuevo)
WNDR4300 (nuevo)
WNDR4300-TN (nuevo)
UTM50 (nuevo)
QNAP:
TS251
TS439 Pro
Otros QNAP NAS con QTS
TP-Link:
R600VPN
TL-WR741ND (nuevo)
TL-WR841N (nuevo)
Ubiquiti:
NSM2 (nuevo)
PBE M5 (nuevo)
Nivel superior:
Modelos desconocidos * (nuevo)
ZTE:
ZXHN H108N (nuevo)
Y eso no es todo
Además de todo lo anunciado anteriormente, Talos informó el descubrimiento de un módulo sniffer. Analiza el tráfico en la búsqueda de datos de cierto tipo que están asociados con la operación de sistemas industriales. Este tráfico pasa a través del TP-Link R600, que está determinado por el módulo. Además, el módulo busca accesos IP desde un cierto rango, así como paquetes de datos que tienen un tamaño de 150 bytes o más.
“Los creadores del virus están buscando cosas muy específicas. No intentan recopilar tanta información como sea posible, en absoluto. Necesitan contraseñas, inicios de sesión, acceso a un rango de IP específico y similares. Estamos tratando de entender quién puede necesitar todo esto ”, dicen los investigadores.
Pero esto no es todo, porque ahora el virus se está actualizando, ha aparecido un módulo de autodestrucción en su funcionalidad. Cuando se activa el módulo, el virus se elimina del dispositivo sin dejar rastro.
A pesar de que el FBI descubrió y se apoderó del servidor principal hace aproximadamente una semana, la botnet todavía está activa, las medidas tomadas claramente no fueron suficientes.