Algumas semanas atrás, especialistas em segurança da informação
alertaram para um malware perigoso chamado VPNFilter. Como se viu, o principal objetivo desse malware são roteadores de vários fabricantes. Um dos primeiros no VPNFilter foi uma equipe
de especialistas em segurança de informações
do Cisco Talos .
O malware está sendo constantemente aprimorado pelos desenvolvedores. Recentemente, foi descoberto um novo módulo que usa o
tipo de ataque man-in-the-middle com relação ao tráfego de entrada. Os invasores podem modificar o tráfego que passa pelo roteador. Eles também podem redirecionar quaisquer dados para seus servidores sem problemas. O módulo de vírus é chamado ssler.
Além de modificar o tráfego de entrada, o ssler também pode transferir dados pessoais da vítima para seus criadores. Podem ser senhas para vários recursos que os cibercriminosos usam para diferentes propósitos.
Para impedir o roubo de informações pessoais, geralmente é usada a criptografia TLS, que o malware pode ignorar. Isso é feito ao "desclassificar" as conexões HTTPS para o tráfego HTTP, que não é protegido por nada. Em seguida, os cabeçalhos da solicitação são substituídos, o que serve como um sinal de que o ponto de acesso é vulnerável. O Ssler modifica especificamente o tráfego de vários recursos, incluindo Google, Facebook, Twitter e Youtube. O fato é que esses serviços fornecem proteção adicional. Por exemplo, o Google redireciona o tráfego HTTP para servidores HTTPS. Mas o módulo permite ignorar essa proteção, para que os invasores recebam tráfego não criptografado.
A partir do momento em que um vírus é descoberto, os especialistas em segurança da informação
estão explorando seus recursos . Agora, parecia que ele era mais perigoso do que se pensava. Anteriormente, por exemplo, especialistas da Cisco alegavam que a principal tarefa dos invasores era infectar dispositivos de rede nos escritórios da empresa e nas residências das vítimas. Talvez para formar uma botnet. Mas agora descobriu-se que eram os usuários, ou melhor, seus dados - o objetivo principal.
“Inicialmente, quando descobrimos o vírus, acreditamos que ele foi criado para implementar vários tipos de ataques à rede. Mas aconteceu que essa não é a tarefa principal e a possibilidade de malware. Foi criado principalmente para roubar dados do usuário e modificar o tráfego. Por exemplo, um vírus pode alterar o tráfego de forma que um usuário do banco cliente veja a mesma quantia em sua conta. Mas, na verdade, o dinheiro não existe há muito tempo ”, afirmou o relatório de especialistas em segurança cibernética.
Curiosamente, a maioria dos dispositivos infectados está localizada na / na Ucrânia. Medidas de proteção como
HTTP Strict Transport Security não são muito comuns aqui, portanto, os dados do usuário estão em risco. Mas em outros países há problemas - por exemplo, nos EUA e na Europa Ocidental, muitos dispositivos moralmente obsoletos não oferecem suporte ao trabalho com HTTPS, enquanto continuam usando o HTTP.
Foi relatado anteriormente que os modelos de roteador mais vulneráveis a esse vírus são dispositivos fabricados pela ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. De fato, a gama de dispositivos vulneráveis ao vírus é muito maior. Isso, incluindo modelos da Linksys, MikroTik, Netgear e TP-Link.
Lista completa de dispositivos vulneráveisAsus:
RT-AC66U (novo)
RT-N10 (novo)
RT-N10E (novo)
RT-N10U (novo)
RT-N56U (novo)
RT-N66U (novo)
D-Link:
DES-1210-08P (novo)
DIR-300 (novo)
DIR-300A (novo)
DSR-250N (novo)
DSR-500N (novo)
DSR-1000 (novo)
DSR-1000N (novo)
Huawei:
HG8245 (novo)
Linksys:
E1200
E2500
E3000 (novo)
E3200 (novo)
E4200 (novo)
RV082 (novo)
WRVS4400N
Mikrotik:
CCR1009 (novo)
CCR1016
CCR1036
CCR1072
CRS109 (novo)
CRS112 (novo)
CRS125 (novo)
RB411 (novo)
RB450 (novo)
RB750 (novo)
RB911 (novo)
RB921 (novo)
RB941 (novo)
RB951 (novo)
RB952 (novo)
RB960 (novo)
RB962 (novo)
RB1100 (novo)
RB1200 (novo)
RB2011 (novo)
RB3011 (novo)
RB Groove (novo)
RB Omnitik (novo)
STX5 (novo)
Netgear:
DG834 (novo)
DGN1000 (novo)
DGN2200
DGN3500 (novo)
FVS318N (novo)
MBRN3000 (novo)
R6400
R7000
R8000
Wnr1000
Wnr2000
WNR2200 (novo)
WNR4000 (novo)
WNDR3700 (novo)
WNDR4000 (novo)
WNDR4300 (novo)
WNDR4300-TN (novo)
UTM50 (novo)
QNAP:
TS251
TS439 Pro
Outro QNAP NAS com QTS
TP-Link:
R600VPN
TL-WR741ND (novo)
TL-WR841N (novo)
Ubiquiti:
NSM2 (novo)
PBE M5 (novo)
Upvel:
Modelos desconhecidos * (novo)
ZTE:
ZXHN H108N (novo)
E isso não é tudo
Além de tudo o que foi anunciado acima, o Talos relatou a descoberta de um módulo sniffer. Ele analisa o tráfego na busca de dados de um determinado tipo que estão associados à operação de sistemas industriais. Esse tráfego passa pelo TP-Link R600, que é determinado pelo módulo. Além disso, o módulo procura acessos IP de um determinado intervalo, bem como pacotes de dados com tamanho de 150 bytes ou mais.
“Os criadores do vírus estão procurando coisas muito específicas. Eles não tentam coletar o máximo de informação possível, de maneira alguma. Eles precisam de senhas, logins, acesso a um intervalo de IP específico e similares. Estamos tentando entender quem pode precisar de tudo isso ”, dizem os pesquisadores.
Mas isso não é tudo, porque agora o vírus está sendo atualizado, um módulo de autodestruição apareceu em sua funcionalidade. Quando o módulo é ativado, o vírus é removido do dispositivo sem deixar vestígios.
Apesar do fato de o FBI ter descoberto e confiscado o servidor principal cerca de uma semana atrás, a botnet ainda está ativa, as medidas tomadas claramente não foram suficientes.