Hace un par de semanas, expertos de seguridad de Cisco y Symantec detectaron una amenaza global presente en más de 50 países y que está haciéndole pascua a 500.000 routers en todo el mundo, un malware llamado VPNFilter que se ha convertido en la base de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha.
Inicialmente en Cisco creían que el objetivo primario de VPNFilter era infectar los routers, switches y NAS de hogares y pequeñas oficinas para montar una enorme botnet que le permitiera lanzar ataques masivos coordinados a objetivos específicos, un malware dirigido a tu router y no a tu PC. Pero, resulta que esto no era así, y ahora creen que VPNFilter también busca atacar a los dueños de los dispositivos.
Craig Williams, uno de los líderes de Talos, la división de inteligencia de ciber-seguridad de Cisco, explica:
Al principio, cuando vimos esto pensamos que estaba para ser usado principalmente por sus capacidades ofensivas, como en ataques de enrutamiento en Internet. Pero, parece que los atacantes han evolucionado aún más allá y ahora no solo les permite lanzar esos ataques, sino que pueden manipular todo lo que pasa por el dispositivo comprometido. Pueden modificar el balance de tu cuenta bancaria para que luzca normal mientras que al mismo tiempo están desviando dinero y potencialmente claves PGP y cosas como similares. Puedes manipular todo lo que entra y sale del dispositivo.
VPNFilter es un modulo que efectúa ataques man-in-the-middle, es decir, puedes interceptar el tráfico que pasa a través de un dispositivo infectado para inyectar su código malicioso. Ese código puede ser creado específicamente para modificar el contenido que te entrega un sitio web cuando lo visitas de forma que ni te enteres.
Además de eso también puede robar datos sensibles e intenta bajar tu conexión HTTPS a una HTTP en texto plano.
El nuevo reporte de Talos también explica que los ataques son extremadamente específicos, que “no están buscando recolectar tanto tráfico como sea posible, sino que están tras ciertas cosas pequeñas como credenciales y contraseñas”. Aún están investigando que están usando y en quien.
Aunque el FBI decomisó un servidor control y un centro de comando, la botnet permanece activa. También recomendaron a todos los usuarios de routers, switches y NAS que reiniciaran los dispositivos para mantenerse seguros. O, una reinicio de fábrica con actualización de firmaware si quieres tomar todas las precauciones posibles.
La lista de dispositivos afectados también crece
Los dispositivos afectados son muchísimos más de los que se reportó inicialmente. Múltiples modelos de diferentes marcas conocidas, en las que probablemente se encuentre el tuyo, si quieres revisar, estos son todos hasta ahora:
Asus:
- RT-AC66U
- RT-N10
- RT-N10E
- RT-N10U
- RT-N56U
- RT-N66U
D-Link:
- DES-1210-08P
- DIR-300
- DIR-300A
- DSR-250N
- DSR-500N
- DSR-1000
- DSR-1000N
Huawei:
- HG8245
Linksys:
- E1200
- E2500
- E3000
- E3200
- E4200
- RV082
- WRVS4400N
Mikrotik:
- CCR1009
- CCR1016
- CCR1036
- CCR1072
- CRS109
- CRS112
- CRS125
- RB411
- RB450
- RB750
- RB911
- RB921
- RB941
- RB951
- RB952
- RB960
- RB962
- RB1100
- RB1200
- RB2011
- RB3011
- RB Groove
- RB Omnitik
- STX5
Netgear:
- DG834
- DGN1000
- DGN2200
- DGN3500
- FVS318N
- MBRN3000
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200
- WNR4000
- WNDR3700
- WNDR4000
- WNDR4300
- WNDR4300-TN
- UTM50
QNAP:
- TS251
- TS439 Pro
- Otros modelos de QNAP ejecutando software QTS
TP-Link:
- R600VPN
- TL-WR741ND
- TL-WR841N
Ubiquiti:
- NSM2
- PBE M5
Upvel:
- Modelos desconocidos
ZTE:
- ZXHN H108N