martes, 12 de junio de 2018

VPNFIlter, el terror de los Routers

Que pex kkrilovers esta vez les vengo hablando de un malware que está haciendo de las suyas por todo el mundo, se trata de VPNFilter y este resultó ser bastante interesante porque no infecta computadoras o celulares sino routers o enrutadores, son esas madres que los conectan a internet.

El problema viene porque hasta ahorita no hay una solución real para combatirlo salvo reiniciar tu equipo enrutador y dejarlo con configuración de fábrica o bien instalarle una versión nueva del firmware* (si es que existe).

Se dice que el malware se ha propagado en hasta 54 países y en más de 500,000 dispositivos, lo más increible es que esta operación lleva activa desde 2016 y apenas hace un mes comenzaron a darse cuenta del problema y su magnitud.

Entre los equipos que pueden ser propensos a ser infectados tenemos los siguientes:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

Basta con darle una pequeña revisada a la marca y modelo del router que tienen en su casita u oficina. Si la marca de su equipo no está en la lista de arriba pueden respirar poquito tranquilos y luego leer esta otra lista: ASUS, D-Link, Huawei, Ubiquiti, UPVEL, y ZTE posiblemente han sido blancos de ataque pero hasta el momento no se han confirmado. La única empresa que ha salido a declarar que ninguno de sus equipos ha sido afectado es Cisco, ya saben si tienen uno desos pueden entrar tranquilos.

Pero a todo esto ¿qué es lo que hace este malware y porqué es peligroso?



En primera instancia lo que hacía el programa malicioso es agregar el dispositivo a una botnet** y usarlo para hacer ataques DDoS***. Pero ahora los routers no solo hacen eso sino que también en tiempo real pueden manipular por ejemplo tus datos bancarios, pero tu no podrás ver eso, tu verás tu cuenta normal con el balance adecuado sin embargo el malware está trabajando y vaciando tu cuenta sin que tengas NPI de cuando o como pasó.

¿Y como se infecta el equipo?


Esto sucede en tres pasos:

Etapa 1: Según la investigación unos metadatos**** incrustado en una imagen del sitio Photobucket es la forma como se inica el ataque. Cuando descargas la imagen los metadatos obtienen la dirección IP de tu router y la envian al servidor que va a infectar tu equipo.

Etapa 2: Es cuando se toma control del equipo. Aquí se verifica que la etapa 1 se completó de forma correcta y ejecuta las instrucciones para completar esta segunda etapa.

Etapa 3: Es la parte donde el servidor de ataque envía paquetes actualizados para lo que sea que pretendan hacer con tu equipo. Aquí por ejemplo podría ser que los rusos quieran robarte tu info personal (como decía la cuenta de banco) o bien armar un ejército de routers para algún ataque DDoS contra algún servicio o ente gubernamental.

Así que ya saben hamijitos, pónganse abusados y tomen las precauciones pertinentes.

Enlaces:


*Firmware: Es como el sistema operativo que hace que funcione el router y haga lo que se supone debe hacer.
**Botnet: Red de dispositivos que funcionan como uno solo obedeciendo órdenes que se envían de forma remota.
***DDoS Attack: Distributed Denied of Service Attack, lo que es lo mismo Ataque Distribuido de Denegación de Servicio que viene siendo algo así como echarle montón a un solo servicio hasta que no pueda con todos y deje de funcionar.
****Metadatos: Son datos que describen otros datos. Tomando como ejemplo una imagen, los metadatos de esa imagen te pueden decir cuando y donde fue tomada, la ISO, el tamaño, la exposición, la apertura focal, etc.

Su papalord, hackerman