VPNFilter se vuelve más peligroso: ahora tiene 7 nuevas herramientas para explotar routers, NAS y otros dispositivos conectados

Escrito por Rubén Velasco

Desde hace ya 4 meses, un malware, conocido como VPNFilter, está poniendo en jaque la seguridad de cientos de miles de routers por todo el mundo. Este malware es capaz de infectar routers y NAS, robar archivos, tomar el control del tráfico e incluso llegar a dañar físicamente los dispositivos que infecta. Aunque esta amenaza ya es conocida por investigadores, empresas de seguridad y por los fabricantes, puede que en breve tengamos una nueva oleada de infecciones de este malware, y es que está incluyendo peligrosas herramientas a su repertorio para hacerse aún más peligroso.

Tal como advierte Talos, el departamento de seguridad de Cisco, en las últimas semanas han podido ver cómo VPNFilter ha añadido una serie de módulos adicionales diseñados, por un lado, para explotar un mayor número de sistemas finales y, por otro, para cifrar todo el tráfico malicioso con los servidores de control y hacerlo así mucho más complicado de detectar.

Los módulos que han sido añadidos a este malware son:

  • htpx: este módulo permite configurar reglas en iptables, así como inspeccionar y redirigir el tráfico HTTP.
  • ndbr: herramienta SSH para escanear puertos y detectar otras IPs que infectar.
  • nm: herramienta para escanear y mapear la subred local.
  • netfilter: controla las aplicaciones que se conectan a la red, bloqueando las que los piratas no quieran que se conecten.
  • portforwarding: módulo utilizado para reenviar el tráfico de red a una infraestructura concreta.
  • socks5proxy: establece un SOCKS5 para comunicarse con el servidor de control.
  • tcpvpn: Establece un VPN Reverse-TCP para comunicarse con los dispositivos comprometidos y poder acceder a la red interna.

El método de infección de este malware sigue siendo similar al de las versiones anteriores, infección dividida principalmente en tres etapas. Tras infectar un dispositivo, el malware se asegura de estar correctamente instalado reiniciando los dispositivos y comprobando si, tras el reinicio, sigue activo. En segundo lugar, el malware empieza a realizar distintas tareas, como recopilar archivos, ejecutar comandos, extraer información, etc. Por último, se conecta al servidor de control a través de la red Tor para pasar a formar parte de la botnet.

Cómo protegernos de VPNFilter

Aunque este malware puede llegar a infectar prácticamente cualquier tipo de dispositivo conectado a la red, los principales fabricantes de routers y otros dispositivos de red que busca esta amenaza son Linksys, MikroTik, NETGEAR y TP-Link.

La verdad es que es muy complicado definir cómo protegernos de este malware, ya que es una amenaza que llega a través de una botnet, no es algo con lo que podamos infectarnos nosotros mismos. Lo único que podemos hacer es asegurarnos de tener instalada la última versión del firmware de nuestro router (una versión moderna, preparada para protegernos de esta amenaza), ya que será la única manera de estar seguros de no caer bajo las garras de este malware.

Por último, en el siguiente enlace os explicamos cómo comprobar si nuestro router está infectado por VPNFilter.

¿Qué opinas de VPNFilter? ¿Tu router y demás dispositivos de red están protegidos de este malware?

Fuente > Talos