Global Preloader
Noticia Internacional
(07/Jun/2018) Descubiertas capacidades destructivas y de sniffing en la tercera etapa de VPNFilter

Descubiertas capacidades destructivas y de sniffing en la tercera etapa de VPNFilter

El mes pasado se descubrió una botnet compuesta por más de 500,000 routers infectados por el malware VPNFilter. Se sospechó que el gobierno de Rusia podría estar involucrado, debido a las dimensiones del ataque.

Posteriormente se descubrió que, además de TP-Link, NETGEAR, Linksys y MicroTik, dispositivos de las marcas ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL y ZTE también se vieron infectados por el malware.

Para infectarlos el malware explota vulnerabilidades conocidas de forma pública, o bien intenta acceder utilizando las credenciales predeterminadas incorporadas de fábrica. De momento no se tiene constancia de que esté explotando vulnerabilidades zero-day.

VPNFilter es un malware de tres etapas, de las cuales, la última era poco clara. Ahora se cuenta con más información, ya que se ha descubierto un nuevo módulo llamado ssler. Se trata de un avanzado sniffer de paquetes que, de ser instalado exitosamente, permite a los atacantes interceptar el tráfico que pasa a través del router infectado, además de liberar código malicioso escrito en JavaScript mediante ataques man-in-the-middle, utilizando en ambos casos el puerto 80. Además, ssler es persistente, manteniéndose instalado incluso después de reiniciar el router.

Por otro lado, ahora se tienen más detalles sobre dstr, el módulo de la segunda etapa que permite destruír archivos necesarios para el funcionamiento del router, en primer lugar destruye los relacionados con el propio VPNFilter: las modificaciones en torno a la seguridad y las configuraciones para conectarse mediante la red Tor.

El FBI ha incautado el servidor de mando y control de VPNFilter, pero todavía hay cientos de miles de routers infectados que se mantendrán en la primera etapa, la cual se ha mostrado persistente ante los reinicios. Esto quiere decir que están preparados para ejecutar las dos siguientes etapas en cuanto haya un servidor de mando y control que pueda activarlas.

Se recomienda restablecer la configuración de fábrica del router para poder eliminar VPNFilter de forma definitiva y actualizar el firmware. Si esto último no es posible, lo recomendable sería comprar un nuevo router.