AgrandarD-Link
Hace dos semanas, funcionarios de los sectores público y privado. advirtió que los piratas informáticos que trabajan para el gobierno ruso infectaron Más de 500,000 enrutadores de grado de consumo en 54 países con malware que podría usarse para una variedad de propósitos nefastos. Ahora, investigadores del equipo de seguridad Talos de Cisco dicen adicional El análisis muestra que el malware es más poderoso que originalmente pensó y se ejecuta en una base mucho más amplia de modelos, muchos de fabricantes previamente no afectados.
Contents
Otras lecturas
Los piratas informáticos infectan a 500,000 enrutadores de consumidores de todo el mundo con malware Las nuevas capacidades más notables que se encuentran en VPNFilter, como el malware es conocido, ven en un módulo recién descubierto que realiza un ataque activo de hombre en el medio al tráfico entrante de la Nosotros b. Los atacantes pueden usar este módulo ssler para inyectar cargas maliciosas en el tráfico cuando pasa a través de un enrutador infectado. Las cargas útiles se puede adaptar para explotar dispositivos específicos conectados a red infectada Pronunciado “essler”, el módulo también se puede utilizar modificar subrepticiamente el contenido entregado por los sitios web.
Además de manipular encubiertamente el tráfico entregado a puntos finales dentro de una red infectada, ssler también está diseñado para robar datos confidenciales pasados entre puntos finales conectados y el exterior En ternet. Inspecciona activamente las URL de la web en busca de signos que transmiten contraseñas y otros datos confidenciales para que puedan copiarse y enviarse a servidores que los atacantes continúan controlando incluso ahora, dos semanas después de que la botnet fuera revelada públicamente.
Para evitar el cifrado TLS que está diseñado para evitar ataques, ssler intenta activamente degradar las conexiones HTTPS a tráfico de texto sin formato HTTP. Luego cambia los encabezados de solicitud para indicar que el punto final no es capaz de usar conexiones cifradas. Ssler realiza adaptaciones especiales para el tráfico a Google, Facebook, Twitter y Youtube, presumiblemente porque estos sitios proporcionan Funciones de seguridad adicionales. Google, por ejemplo, lleva años redirigió automáticamente el tráfico HTTP a los servidores HTTPS. Lo nuevo el módulo descubierto también elimina la compresión de datos proporcionada por el aplicación gzip porque el tráfico de texto sin formato es más fácil de modificar.
Todo su tráfico de red nos pertenece
El nuevo análisis, que se espera que Cisco detalle en un informe que se publicará el miércoles por la mañana, muestra que VPNFilter plantea un amenaza más potente y objetivos más dispositivos que se informó dos hace semanas. Anteriormente, Cisco creía que el objetivo principal de VPNFilter era utilizar enrutadores, conmutadores y dispositivos de almacenamiento conectados a la red como plataforma para el lanzamiento ataques ofuscados en objetivos primarios. El descubrimiento de ssler sugiere que los propietarios de enrutadores sean un objetivo clave de VPNFilter.
“Inicialmente, cuando vimos esto, pensamos que estaba hecho principalmente para capacidades ofensivas como enrutar ataques en Internet ” Craig Williams , un líder tecnológico senior y alcance global gerente de Talos, le dijo a Ars. “Pero parece que [los atacantes] tienen completamente evolucionado más allá de eso, y ahora no solo les permite para hacer eso, pero pueden manipular todo lo que pasa por el dispositivo comprometido Pueden modificar el saldo de su cuenta bancaria para que parece normal mientras que al mismo tiempo están desviando dinero y potencialmente claves PGP y cosas así. Ellos pueden manipular todo lo que entra y sale del dispositivo “.
Mientras HTTP Strict Transport Security y medidas similares diseñado para evitar conexiones web sin cifrar puede ayudar a prevenir la rebaja de HTTP de tener éxito, Williams dijo que esas ofertas no están ampliamente disponibles en Ucrania, donde una gran cantidad de Se encuentran dispositivos infectados por VPN. Además, muchos sitios en los EE. UU. y Europa occidental continúan proporcionando HTTP como alternativa para los mayores dispositivos que no son totalmente compatibles con HTTPS.
(Mucho) mayor superficie de ataque
Talos dijo que VPNFilter también apunta a un número mucho mayor de dispositivos de lo que se pensaba anteriormente, incluidos los fabricados por ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE. El malware también funciona en nuevos modelos de fabricantes que antes se conocían como objetivo, incluyendo Linksys, MikroTik, Netgear y TP-Link. Williamsestimó que los modelos adicionales pusieron 200,000 enrutadores adicionales en todo el mundo en riesgo de infectarse. La lista completa de destinatarios dispositivos es:
Dispositivos Asus: RT-AC66U (nuevo) RT-N10 (nuevo) RT-N10E (nuevo) RT-N10U (nuevo) RT-N56U (nuevo) RT-N66U (nuevo)
Dispositivos D-Link: DES-1210-08P (nuevo) DIR-300 (nuevo) DIR-300A (nuevo) DSR-250N (nuevo) DSR-500N (nuevo) DSR-1000 (nuevo) DSR-1000N (nuevo)
Dispositivos Huawei: HG8245 (nuevo)
Dispositivos Linksys: E1200 E2500 E3000 (nuevo) E3200 (nuevo) E4200 (nuevo) RV082 (nuevo) WRVS4400N
Dispositivos Mikrotik: CCR1009 (nuevo) CCR1016 CCR1036 CCR1072 CRS109 (nuevo) CRS112 (nuevo) CRS125 (nuevo) RB411 (nuevo) RB450 (nuevo) RB750 (nuevo) RB911 (nuevo) RB921 (nuevo) RB941 (nuevo) RB951 (nuevo) RB952 (nuevo) RB960 (nuevo) RB962 (nuevo) RB1100 (nuevo) RB1200 (nuevo) RB2011 (nuevo) RB3011 (nuevo) RB Groove (nuevo) RB Omnitik (nuevo) STX5 (nuevo)
Dispositivos Netgear: DG834 (nuevo) DGN1000 (nuevo) DGN2200 DGN3500 (nuevo) FVS318N (nuevo) MBRN3000 (nuevo) R6400 R7000 R8000 WNR1000 WNR2000 WNR2200 (nuevo) WNR4000 (nuevo) WNDR3700 (nuevo) WNDR4000 (nuevo) WNDR4300 (nuevo) WNDR4300-TN (nuevo) UTM50 (nuevo)
Dispositivos QNAP: TS251 TS439 Pro Otros dispositivos NAS QNAP ejecutando el software QTS
Dispositivos TP-Link: R600VPN TL-WR741ND (nuevo) TL-WR841N (nuevo)
Dispositivos Ubiquiti: NSM2 (nuevo) PBE M5 (nuevo)
Dispositivos de nivel superior: modelos desconocidos * (nuevo)
Dispositivos ZTE: ZXHN H108N (nuevo)
Increíblemente dirigido
El informe de Talos del miércoles también proporciona nuevas ideas sobre un módulo sniffer de paquetes encontrado anteriormente. Monitorea el tráfico para datos específicos de sistemas de control industrial que se conectan a través de un TP-Link R600 red privada virtual. El módulo sniffer también se ve para conexiones a una dirección IP previamente especificada. También busca paquetes de datos de 150 bytes o más.
“Están buscando cosas muy específicas”, dijo Williams. “No están tratando de reunir tanto tráfico como puedan. Están después de ciertas cosas muy pequeñas como credenciales y contraseñas. Weno tengo mucha información sobre eso aparte de lo que parece increíble dirigido e increíblemente sofisticado. Todavía estamos tratando de imaginar en quién estaban usando eso “.
El informe del miércoles también detalla un módulo de autodestrucción que puede ser entregado a cualquier dispositivo infectado que actualmente carece de capacidad. Cuando se ejecuta, primero elimina todos los rastros de VPNFilter desde el dispositivo y luego ejecuta el comando “rm -rf / *”, que elimina el resto del sistema de archivos. El módulo luego se reinicia el dispositivo.
Otras lecturas
El FBI toma el dominio que Rusia supuestamente usó para infectar a 500,000 consumidores Enrutadores A pesar del descubrimiento de VPNFilter y la captura del FBI dos Hace semanas de un servidor de comando y control de teclas, la botnet todavía permanece activo, dijo Williams. La razón involucra deliberadamente diseño fragmentario del malware. La etapa 1 actúa como una puerta trasera y es una de las pocas piezas conocidas de malware de enrutadores que pueden sobrevivir a un reiniciar. Mientras tanto, las etapas 2 y 3, que proporcionan funciones avanzadas para cosas como los ataques de hombre en el medio y la autodestrucción capacidades, deben reinstalarse cada vez que un dispositivo infectado se reinicia
Para adaptarse a esta limitación, la etapa 1 se basa en un Mecanismo sofisticado para localizar servidores donde las etapas 2 y 3 las cargas útiles estaban disponibles. El método principal implicaba la descarga. imágenes almacenadas en Photobucket.com y extrayendo una dirección IP de seis valores enteros utilizados para la latitud y longitud del GPS almacenados en El campo EXIF de la imagen. Cuando Photobucket eliminó esas imágenes, VPNFilter usó un método de respaldo que dependía de un servidor ubicado en ToKnowAll.com.
Incluso con la toma del FBI de ToKnowAll.com, los dispositivos infectados en la etapa 1 todavía se puede poner en un modo de escucha que permite los atacantes usarán paquetes desencadenantes específicos que se instalen manualmente etapas posteriores de VPNFilter. Eso significa cientos de miles de dispositivos. probablemente permanezca infectado con la etapa 1, y posiblemente las etapas 2 y 3)
No hay una manera fácil de saber si un enrutador está infectado. Un método implica buscar en los registros los indicadores de compromiso enumerados al final del informe de Cisco. Otro involucra ingeniería inversa el firmware, o al menos extraerlo de un dispositivo, y comparándolo con el firmware autorizado. Ambas cosas son fuera de las capacidades de la mayoría de los propietarios de enrutadores. Por eso hace sentido para la gente simplemente asumir que un enrutador puede estar infectado y desinfectarlo Los investigadores aún no saben cómo enrutadores inicialmente infectarse con la etapa 1, pero suponen que es mediante la explotación fallas conocidas para las cuales probablemente hay parches disponibles.
Los pasos para desinfectar completamente los dispositivos varían de un modelo a otro. Inalgunos casos, presionando un botón empotrado en la parte posterior para realizar un El restablecimiento de fábrica borrará la etapa 1. En otros casos, los propietarios deben reinicie el dispositivo e instale inmediatamente la última versión disponible firmware autorizado del fabricante. Propietarios de enrutadores que son si no sabe cómo responder, comuníquese con su fabricante o, si el dispositivo tiene más de unos pocos años, compre uno nuevo.
Los propietarios de enrutadores siempre deben cambiar las contraseñas predeterminadas y, siempre que sea posible, deshabilite la administración remota. Por extra seguridad, las personas siempre pueden ejecutar enrutadores detrás de una seguridad adecuada cortafuegos Williams dijo que no ha visto evidencia de que VPNFilter tenga dispositivos infectados que ejecutan firmware Tomato, Merlin WRT y DD-WRT, pero que no puede descartar esa posibilidad.
Otras lecturas
El FBI le dice a los usuarios del enrutador que reinicien ahora para eliminar el malware que infecta 500k Sin embargo, hace dos semanas, el FBI recomendó que todos los propietarios de enrutadores, conmutadores y almacenamiento conectado a la red de nivel de consumidor dispositivos reiniciar sus dispositivos. Si bien el consejo probablemente interrumpió El avance de VPNFilter y la compra de tiempo de usuarios infectados, también puede han creado la creencia errónea de que reiniciar solo fue suficiente para eliminar completamente VPNFilter de los dispositivos infectados.
“Me preocupa que el FBI le haya dado a la gente una falsa sensación de seguridad “, dijo Williams. “VPNFilter todavía está operativo. Eso infecta aún más dispositivos de lo que pensábamos inicialmente, y su las capacidades son muy superiores a lo que inicialmente pensamos. Personas necesitan sacarlo de su red “.
