Desveladas las destructivas capacidades de la tercera etapa de VPNFilter

Los investigadores de Cisco Talos descubrieron el mes pasado una gigantesca botnet compuesta por 500.000 routers ubicados en 54 países, los cuales fueron infectados por un malware llamado VPNFilter. Debido a la envergadura de la botnet, se llegó a sospechar que detrás podría haber algún estado, siendo Rusia el principal sospechoso.

Tras el hallazgo inicial, los investigadores de Cisco decidieron profundizar en la misma dirección, descubriendo que, además de TP-Link, NETGEAR, Linksys y MicroTik, dispositivos de las marcas ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL y ZTE también se vieron infectados por VPNFilter, a los que se han sumado más modelos de las marcas mencionadas al principio. Para secuestrarlos, el malware se dedica a explotar vulnerabilidades conocidas de forma pública o bien intenta acceder utilizando las credenciales predeterminadas incorporadas de fábrica. De momento no se tiene constancia de que esté explotando vulnerabilidades zero-day.

VPNFilter es un malware de tres etapas, sin embargo, la última no terminó de quedar del todo clara hasta que los investigadores indagaron más en ella. Ahora tenemos más información, con el descubrimiento de un nuevo módulo llamado ssler, un sniffer de paquetes avanzado que en caso de ser instalado permite a los atacantes interceptar el tráfico que pasa a través del router infectado, además de soltar cargas útiles maliciosas en JavaScript mediante ataques man-in-the-middle, utilizando en ambos casos el puerto 80. Otra característica a destacar de ssler es que resulta persistente, manteniéndose instalado incluso después de reiniciar el router.

Las cargas maliciosas están adaptadas al dispositivo atacado e incluyen una lista de parámetros que definen cosas como la localización de una carpeta en el router infectado donde almacenar los datos robados, las direcciones IP de origen y destino para crear reglas de iptables, así como la URL objetivo de la inyección de JavaScript. La configuración del rastreo de los paquetes de todas las solicitudes web se realiza a través del puerto 80. Ssler establece reglas de iptables en el router infectado después de su instalación para redirigir el tráfico del puerto 80 a su servicio local, que escucha por el puerto 8888. Para evitar la detección de los cambios en el cortafuegos, el módulo se dedica a borrarlos y restaurarlos cada pocos minutos.

Es importante tener en cuenta que el puerto 80 es el utilizado por HTTP, mientras que HTTPS utiliza el 443. Para poder interceptar los paquetes HTTPS, ssler lleva a cabo un ataque llamado SSLStrip, que rebaja las conexiones a HTTP estándar. Esto fuerza al navegador web de la víctima a tener que comunicarse mediante texto plano al no cifrar la conexión.

Por otro lado, ahora se conocen más detalles sobre dstr, el módulo de la segunda etapa que permite destruir el router. Además de llevarse por delante ficheros necesarios para el normal funcionamiento del router, en primer lugar destruye los relacionados con el malware, abarcando el propio VPNFilter, las modificaciones en torno la seguridad y las configuraciones para conectarse mediante la red Tor.

A pesar de que el FBI ha incautado el servidor de mando y control de VPNFilter, todavía hay cientos de miles de routers infectados que se mantendrán en la primera etapa, la cual se ha mostrado persistente ante los reinicios. Esto quiere decir que están preparados para ejecutar las dos siguientes etapas en cuanto haya un servidor de mando y control que pueda activarlas.

Llegados a este punto, lo único que queda es restablecer la configuración de fábrica del router para poder eliminar VPNFilter de forma definitiva y actualizar el firmware. En caso de que lo último no sea posible, lo recomendable sería comprar un router nuevo.

Fuente: The Hacker News