VPNFilter es el nombre con el que han bautizado un nuevo malware de posible origen ruso ha infectado al menos a 500.000 routers de hasta 54 países diferentes, formando una botnet.  El origen de VPNFilter podría estar en el gruposruso "Sofacy", conocido también como "Fancy Bear" y "APT28" y uno de sus objetivos podría haber sido causar una caída en los ordenadores durante la final de la Champion League 2018 que se ha celebrado en Ucrania, país que no tiene unas buenas relaciones con Rusia. El malware ha sido denominado “VPNFilter” porque se autoinstala en un directorio llamado /vpnfilter/.






VPNFilter, un malware potencialmente destructivo, que infecta activamente a los hosts de Ucrania a un ritmo alarmante, utilizando una infraestructura de comando y control (C2) dedicada a ese país.

Se estima que la cantidad de dispositivos infectados es de al menos 500,000 en al menos 54 países. , pero nuestra investigación continúa. El comportamiento de este malware en los equipos de red es particularmente preocupante, ya que los componentes del malware VPNFilter permiten el robo de credenciales del sitio web y la supervisión de los protocolos Modbus SCADA. Por último, el malware tiene una capacidad destructiva que puede inutilizar un dispositivo infectado, que puede activarse en máquinas de víctimas individuales o en masa, y tiene el potencial de cortar el acceso a Internet para cientos de miles de víctimas en todo el mundo.


VPN Filter utiliza vulnerabilidades conocidas para infectar enrutadores de oficina doméstica fabricados por Linksys, MikroTik, NETGEAR y TP-Link. Una vez en su lugar, el malware informa a una infraestructura de comando y control que puede instalar complementos construidos especialmente, según los investigadores. Un complemento permite  espiar el tráfico de Internet de la víctima para robar las credenciales del sitio web; otro se dirige a un protocolo utilizado en las redes de control industrial, como las de la red eléctrica. Un tercero permite al atacante paralizar cualquiera o todos los dispositivos infectados a voluntad.

Algunos detalles técnicos

El malware VPNFilter es una plataforma modular de etapas múltiples con capacidades versátiles para admitir operaciones de recopilación de inteligencia y ataques cibernéticos destructivos.

El malware de la etapa 1 persiste a través de un reinicio, que lo diferencia de la mayoría de los otros programas maliciosos que se dirigen a los dispositivos de Internet de las cosas porque el malware normalmente no sobrevive al reinicio del dispositivo.


Los investigadores han explicado que se trata de una «botnet» basada en la estructura de la Internet de las Cosas (red de bots o equipos zoombie que pueden ser controlados de manera conjunta remotamente). Se desconocen las intenciones exactas de los ciberdelincuentes, pero temen que podría ser utilizado para múltiples acciones como ciberespionaje o lanzar un ciberataque a escala global.

 El Servicio de Seguridad de Ucrania (SBU) ha detectado, según informa Reuters, una actividad sospechosa procedente de organismos de Rusia y temen que se estaba preparando un ciberataque a gran escala en el marco de la final de la Liga de Campeones, que se celebró en la capital ucraniana, Kiev, el sábado entre el Real Madrid y el Liverpool.

• https://ssu.gov.ua/ua/news/1/category/21/view/4823#.Xa4RX7cc.dpbs

Tal vez los detalles técnicos más interesantes, que los puntos de Cisco Talos en su blog de la vinculación VPNFilter a BlackEnergy, por el uso de un defectuoso del algotritmo RC4.

Entonces, ¿VPNFilter está relacionado con BlackEnergy? Si vamos a considerar solo la implementación de la programación de claves RC4, podemos decir que solo hay un enlace de baja confianza. Sin embargo, cabe señalar que se sabe que BlackEnergy implementó malware de enrutadores desde el año 2014, que describimos en nuestro blog: "plugins personalizados de BE2, abuso de enrutadores y perfiles de destino". Buscando otras similitudes que podrían respaldar esta teoría.

Análisis técnicos y detallados del malware:

• https://securelist.com/vpnfilter-exif-to-c2-mechanism-analysed/85721/
• https://news.sophos.com/en-us/2018/05/24/vpnfilter-botnet-a-sophoslabs-analysis/
• https://news.sophos.com/en-us/2018/05/27/vpnfilter-botnet-a-sophoslabs-analysis-part-2/
• https://sensorstechforum.com//vpnfilter-trojan-malware-unix-remove-protect-networks/
• https://www.vanimpe.eu/2018/05/25/diving-into-the-vpnfilter-c2-via-exif/ 

Modelos potencialmente vulnerables que están siendo atacados:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS para Cloud Core Routers: Versiones 1016, 1036 y 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Otros dispositivos QNAP NAS funcionando con QTS software
• TP-Link R600VPN

Los dispositivos conocidos afectados por VPNFilter son los equipos de redes Linksys, MikroTik, NETGEAR y TP-Link en el espacio de la oficina pequeña y doméstica (SOHO), así como en los dispositivos de almacenamiento conectado a la red (NAS) de QNAP. Ningún otro proveedor, incluido Cisco, ha sido infectado por VPNFilter

El FBI recomienda que reinicies el router; pero reiniciar no es suficiente

• https://www.ic3.gov/media/2018/180525.aspx

Sorprende bastante la recomendación del FBI de reiniciar el router, ya que varios expertos han señalado que el malware VPNFilter es persistente a los reinicios, con lo cual reiniciar el router no va solucionar el problema.

¿Reiniciar el router realmente eliminará la infección de VPNFilter? La respuesta corta es sí y no. Al reiniciar el router se descargarán los componentes de la Etapa 2 y la Etapa 3 de VPNFilter, pero la Etapa 1 comenzará de nuevo luego de que el enrutador se reinicie. Por lo tanto, aunque los componentes más maliciosos estarán deshabilitados, VPNFilter seguirá presente en tu dispositivo.

La única forma real de eliminar por completo esta infección es restablecer el router a los valores predeterminados de fábrica, lo que también reiniciará el  router. Desafortunadamente, este proceso requerirá que configurar nuevamente todos los datos desde la contraseña de administrador a configurar cualquier red inalámbrica

Cisco y Symantec aconsejan un reseteo de fábrica, es decir resetear el router al estado de fábrica

MikroTik ha dicho que es muy seguro que cualquiera de sus dispositivos infectados por VPNFilter haya instalado el malware a través de una vulnerabilidad en el software MikroTik RouterOS, que fue parcheada por MikroTik en marzo de 2017. La actualización del software RouterOS elimina VPNFilter, cualquier otro archivo de terceros y corrige la vulnerabilidad.

Opción de hacer un "hard reset" al dispositivo, que hace que éste se inicie con la configuración de fábrica.

Instrucciones fabricantes:

• QNAP: https://www.qnap.com/en/security-advisory/nas-201805-24
• Lynksys: https://www.linksys.com/eg/support-article?articleNum=139791 
• Netgear:  https://kb.netgear.com/000058814/Security-Advisory-for-VPNFilter-Malware-on-Some-Routers

Se recomienda, cómo siempre:

• Deshabilitar la administración remota (Disable Remote Administration). La administración remota suele estar deshabilitada por defecto.
  
• Cambiar las contraseñas por defecto
• Desactivar servicios no utilicemos (especialmente servicios accesibles remotamente desde WAN (Internet)
  
• Utilizar el último firmware disponible

• https://www.us-cert.gov/ncas/tips/ST15-002

El FBI toma el control de la botnet VPNFilter

• https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

El FBI ha estado investigando la red zombi desde al menos agosto, según registros judiciales, cuando agentes en Pittsburgh entrevistaron a un residente local cuyo enrutador doméstico había sido infectado con el malware ruso. "Ella voluntariamente entregó su enrutador a los agentes", escribió el agente del FBI Michael McKeown, en una declaración jurada presentada en un tribunal federal. "Además, la víctima permitió que el FBI utilizara un toque de red en su red doméstica que permitía al FBI observar el tráfico de red que salía del enrutador de la casa".

Eso permitió a la oficina identificar una debilidad clave en el malware. Si una víctima reinicia un enrutador infectado, todos los complementos maliciosos desaparecerán y solo sobrevivirá el código principal de malware. Ese código está programado para conectarse a través de Internet a una infraestructura de comando y control configurada.

 Primero comprueba las imágenes particulares alojadas en Photobucket.com que contenían información oculta en los metadatos. Si no puede encontrar esas imágenes, que de hecho han sido eliminadas de Photobucket, se convierte en un punto de control de respaldo de emergencia en el dominio web ToKnowAll.com

Agentes del FBI en Pittsburg le pidieron a la magistrada federal Lisa Pupo Lenihan en Pittsburgh que ordene a la firma de registro de dominios Verisign entregar la dirección de ToKnowAll[.]com al FBI, para "avanzar en la investigación, interrumpir el continuo actividad criminal que involucra el establecimiento y uso de la botnet, y ayudar en los esfuerzos de remediación", según los registros judiciales. Lenihan estuvo de acuerdo, y el miércoles la oficina tomó el control del dominio.

VPNFilter  es "bastante peor de lo pensado"

Un nuevo informe de Cisco Talos alerta de que la amenaza afecta a muchas más marcas y modelos de los que se pensaba al principio, y su potencial destructor es mayor: tiene la capacidad de robar datos e incluso inutilizar los dispositivos infectados.

VPNFilter es un malware de tres etapas, sin embargo, la última no terminó de quedar del todo clara hasta que los investigadores indagaron más en ella.

Esas capacidades adicionales descubiertas de VPNFilter incluyen eludir el cifrado SSL —por lo tanto, robar datos confidenciales— inyectar contenido malicioso en el tráfico web normal e infectar a otros dispositivos en la red.

Ahora, además, existen más datos sobre esta esta amenaza: afecta a más dispositivos de enrutamiento (routers) tanto domésticos como para pymes de lo que anteriormente se pensaba, de marcas como Linksys, MikroTik, NETGEAR y TP-Link, así como dispositivos NAS de QNAP.

La lista de routers afectados ha aumentado significativamente desde que se informó por primera vez de esta infección, y ahora incluye dispositivos de ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE. 

Dispositivos afectados:

Asus:

• RT-AC66U
• RT-N10
• RT-N10E
• RT-N10U
• RT-N56U
• RT-N66U

D-Link:

• DES-1210-08P
• DIR-300
• DIR-300A
• DSR-250N
• DSR-500N
• DSR-1000
• DSR-1000N

Huawei:

• HG8245

Linksys Devices:

• E1200
• E2500
• E3000
• E3200
• E4200
• RV082
• WRVS4400N

Mikrotik Devices:

• CCR1009
• CCR1016
• CCR1036
• CCR1072
• CRS109
• CRS112
• CRS125
• RB411
• RB450
• RB750
• RB911
• RB921
• RB941
• RB951
• RB952
• RB960
• RB962
• RB1100
• RB1200
• RB2011
• RB3011
• RB Groove
• RB Omnitik
• STX5

Netgear:

• DG834
• DGN1000
• DGN2200
• DGN3500
• FVS318N
• MBRN3000
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200
• WNR4000
• WNDR3700
• WNDR4000
• WNDR4300
• WNDR4300-TN
• UTM50

QNAP:

• TS251
• TS439 Pro
• Otros dispositivos que incluyan software QTS

TP-Link:

• R600VPN
• TL-WR741ND
• TL-WR841N

Ubiquiti:

• NSM2
• PBE M5

Upvel

• Unknown Models* (new)
  

ZTE:

• ZXHN H108N

800.000 routers DrayTek potencialmente vulnerables CSRF & DNS

A los propietarios del routers DrayTek Vigor, se ha informado recientemente de una vulnerabilidad que permite a un atacante cambiar la configuración del Sistema de nombres de dominio (DNS) para secuestrar el tráfico web y robar información personal.

El Servidor DNS maligno sería:

38.134.121.95

Fuentes:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet