Propaganda

O malware de roteador, dispositivo de rede e Internet das Coisas é cada vez mais comum. A maioria se concentra em infectar dispositivos vulneráveis ​​e adicioná-los a poderosas redes de bots. Os roteadores e os dispositivos da Internet das Coisas (IoT) estão sempre ligados, sempre online e aguardando instruções. Forragem de botnet perfeita, então.

Mas nem todos os malwares são iguais.

O VPNFilter é uma ameaça destrutiva de malware para roteadores, dispositivos de IoT e até mesmo alguns dispositivos de armazenamento conectado à rede (NAS). Como você verifica uma infecção de malware VPNFilter? E como você pode limpá-lo? Vamos dar uma olhada no VPNFilter.

O que é o VPNFilter?

O VPNFilter é uma variante de malware modular sofisticada que visa principalmente dispositivos de rede de uma ampla gama de fabricantes, bem como dispositivos NAS. O VPNFilter foi encontrado inicialmente em dispositivos de rede Linksys, MikroTik, NETGEAR e TP-Link, bem como em dispositivos QNAP NAS, com cerca de 500.000 infecções em 54 países.

instagram viewer

o equipe que descobriu o VPNFilterCisco Talos, detalhes atualizados recentemente com relação ao malware, indicando que equipamentos de rede de fabricantes como ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE agora estão mostrando infecções por VPNFilter. No entanto, no momento da escrita, nenhum dispositivo de rede da Cisco é afetado.

O malware é diferente da maioria dos outros malwares focados na IoT, porque persiste após a reinicialização do sistema, dificultando a erradicação. Os dispositivos que usam suas credenciais de login padrão ou com vulnerabilidades conhecidas de dia zero que não receberam atualizações de firmware são particularmente vulneráveis.

O que o VPNFilter faz?

Portanto, o VPNFilter é uma “plataforma modular de vários estágios” que pode causar danos destrutivos aos dispositivos. Além disso, também pode servir como uma ameaça de coleta de dados. O VPNFilter funciona em várias etapas.

Estágio 1: O VPNFilter Stage 1 estabelece uma cabeça de ponte no dispositivo, entrando em contato com o servidor de comando e controle (C&C) para baixar módulos adicionais e aguardar instruções. O Estágio 1 também possui vários redundâncias embutidas para localizar C e Cs do Estágio 2 em caso de alteração da infraestrutura durante a implantação. O malware VPNFilter do Estágio 1 também é capaz de sobreviver a uma reinicialização, tornando-o uma ameaça robusta.

Etapa 2: O VPNFilter Stage 2 não persiste durante uma reinicialização, mas vem com uma variedade maior de recursos. O estágio 2 pode coletar dados particulares, executar comandos e interferir no gerenciamento de dispositivos. Além disso, existem versões diferentes do estágio 2 em estado selvagem. Algumas versões estão equipadas com um módulo destrutivo que substitui uma partição do firmware do dispositivo, depois, é reinicializado para inutilizar o dispositivo (o malware contém o roteador, a IoT ou o dispositivo NAS, basicamente).

Etapa 3: Os módulos do VPNFilter Stage 3 funcionam como plug-ins para o Stage 2, estendendo a funcionalidade do VPNFilter. Um módulo atua como um farejador de pacotes que coleta o tráfego recebido no dispositivo e rouba credenciais. Outro permite que o malware do Estágio 2 se comunique de forma segura usando o Tor. O Cisco Talos também encontrou um módulo que injeta conteúdo malicioso no tráfego que passa pelo dispositivo, o que significa que o hacker pode oferecer novas explorações a outros dispositivos conectados por meio de um roteador, IoT ou NAS dispositivo.

Além disso, os módulos VPNFilter "permitem o roubo de credenciais do site e o monitoramento dos protocolos Modbus SCADA".

Meta de compartilhamento de fotos

Outro recurso interessante (mas não descoberto recentemente) do malware VPNFilter é o uso de serviços de compartilhamento de fotos on-line para encontrar o endereço IP do servidor C&C. A análise do Talos descobriu que o malware aponta para uma série de URLs do Photobucket. O malware baixa o arquivo primeira imagem na galeria, o URL faz referência e extrai um endereço IP do servidor oculto na imagem metadados.

O endereço IP "é extraído de seis valores inteiros para latitude e longitude do GPS nas informações EXIF". Se isso falhar, o O malware do estágio 1 volta a um domínio comum (toknowall.com - mais sobre isso abaixo) para baixar a imagem e tentar o mesmo processo.

cisco talos vpnfilter infra-estrutura de servidores de malware

Detecção de pacotes direcionados

O relatório atualizado do Talos revelou algumas informações interessantes sobre o módulo de detecção de pacotes do VPNFilter. Em vez de acumular tudo, ele tem um conjunto bastante rígido de regras que visam tipos específicos de tráfego. Especificamente, o tráfego de sistemas de controle industrial (SCADA) que se conectam usando VPNs TP-Link R600, conexões a uma lista de endereços IP predefinidos (indicando um conhecimento avançado de outras redes e tráfego desejável), bem como pacotes de dados de 150 bytes ou maior.

Craig William, líder sênior de tecnologia e gerente de alcance global da Talos, disse Ars, "Eles estão procurando coisas muito específicas. Eles não estão tentando reunir o máximo de tráfego possível. Eles buscam coisas muito pequenas, como credenciais e senhas. Não temos muitas informações sobre isso além de parecer incrivelmente direcionadas e incrivelmente sofisticadas. Ainda estamos tentando descobrir em quem eles estavam usando isso. "

De onde veio o VPNFilter?

Pensa-se que o VPNFilter é o trabalho de um grupo de hackers patrocinado pelo estado. Que o aumento inicial da infecção pelo VPNFilter foi sentido predominantemente em toda a Ucrânia, os dedos iniciais apontaram para impressões digitais apoiadas pela Rússia e o grupo hacker Fancy Bear.

No entanto, tal é a sofisticação do malware, não existe uma gênese clara e nenhum grupo de hackers, estado-nação ou outro, avançou para reivindicar o malware. Dadas as regras detalhadas de malware e o direcionamento do SCADA e outros protocolos de sistema industrial, um ator de Estado-nação parece muito provável.

Independentemente do que eu pense, o FBI acredita que o VPNFilter é uma criação do Bear Fancy. Em maio de 2018, o FBI apreendeu um domínio- ToKnowAll.com - que foi pensado para ter sido usado para instalar e controlar o malware VPNFilter nos estágios 2 e 3. A apreensão do domínio certamente ajudou a impedir a disseminação imediata do VPNFilter, mas não rompeu a artéria principal; o SBU ucraniano interrompeu um ataque VPNFilter a uma planta de processamento químico em julho de 2018, por exemplo.

O VPNFilter também possui semelhanças com o malware BlackEnergy, um Trojan APT em uso contra uma ampla variedade de alvos ucranianos. Novamente, embora isso esteja longe de ser uma evidência completa, o direcionamento sistêmico da Ucrânia deriva predominantemente de grupos de hackers com laços russos.

Estou infectado com o VPNFilter?

Provavelmente, seu roteador não está abrigando o malware VPNFilter. Mas é sempre melhor prevenir do que remediar:

  1. Verifique esta lista para o seu roteador. Se você não está na lista, está tudo bem.
  2. Você pode ir para o Site Symantec VPNFilter Check. Marque a caixa de termos e condições e pressione o Execute a verificação do VPNFilter botão no meio. O teste é concluído em segundos.
malware vpnfilter site de verificação de infecção pela symantec

Estou infectado com VPNFilter: O que devo fazer?

Se a verificação do Symantec VPNFilter confirmar que seu roteador está infectado, você tem um curso de ação claro.

  1. Redefina seu roteador e execute o VPNFilter Check novamente.
  2. Redefina as configurações de fábrica do seu roteador.
  3. Faça o download do firmware mais recente para o seu roteador e conclua uma instalação limpa do firmware, de preferência sem que o roteador faça uma conexão online durante o processo.

Além disso, você precisa concluir as verificações completas do sistema em cada dispositivo conectado ao roteador infectado.

Você sempre deve alterar as credenciais de login padrão do seu roteador, bem como qualquer dispositivo IoT ou NAS (Os dispositivos de IoT não facilitam essa tarefa Por que a Internet das coisas é o maior pesadelo de segurançaUm dia, você chega em casa do trabalho para descobrir que o seu sistema de segurança residencial habilitado para nuvem foi violado. Como isso pôde acontecer? Com a Internet das Coisas (IoT), você pode descobrir da maneira mais difícil. consulte Mais informação ) se tudo for possível. Além disso, embora haja evidências de que o VPNFilter pode evitar alguns firewalls, ter um instalado e configurado corretamente 7 dicas simples para proteger seu roteador e rede Wi-Fi em minutosAlguém está farejando e escutando seu tráfego Wi-Fi, roubando suas senhas e números de cartão de crédito? Você saberia se alguém estivesse? Provavelmente não, então proteja sua rede sem fio com essas 7 etapas simples. consulte Mais informação ajudará a manter muitas outras coisas desagradáveis ​​fora da sua rede.

Cuidado com o malware do roteador!

O malware do roteador é cada vez mais comum. Malwares e vulnerabilidades de IoT estão por toda parte e, com o número de dispositivos online, só piorará. Seu roteador é o ponto focal dos dados em sua casa. No entanto, ele não recebe quase tanta atenção de segurança quanto outros dispositivos.

Simplificando, seu roteador não é seguro como você pensa 10 maneiras que seu roteador não é tão seguro quanto você pensaAqui estão 10 maneiras pelas quais seu roteador pode ser explorado por hackers e seqüestradores sem fio drive-by. consulte Mais informação .

Gavin é escritor sênior do MUO. Ele também é o editor e o gerente de SEO do site irmão da MakeUseOf, Blocks Decoded. Ele tem uma redação contemporânea BA (Hons) com práticas de arte digital saqueadas nas montanhas de Devon, além de mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá.