In urma cu cateva zile peste 500.000 de routere rezidentiale au fost afectate cu un malware utilizat in vederea colectarii comunicarii, lansarea de atacuri asupra altor routere, distrugerea permanenta a dispozitivelor printr-o singura comanda. Malware-ul denumit VPNFilter, este un malware de tipul multi nivel cu actiune asupra routerelor de tipul consumer de la producatori ca Linksys, MikroTik, Netgear, TP-Link, precum si asupra nas-urilor de la QNAP. Acest malware comparativ cu alte malware-uri, supravietuieste chiar si la restartarea echipamentului. Infectarea s-a produs in peste 54 de tari, conform unui comunicat oferit de CISCO. Atacurile au cunoscut un varf fara precedent in zilele trecute, printre atacuri se numara doua asalturi majore asupra dispozitivelor din Ucraina, moment care a coincis cu organizarea finalei cupei Champions League.
Platforma extinsa pentru servirea unor multiple scopuri
William Largent, cercetator in cadrul companiei CISCO, a declarat, “credem ca acest malware este utilizat in crearea unei infrastructuri extinse utilizata in scopuri operationale multiple”.” Cum aceste dispozitive apartin unor terti, companii, etc, orice activitate malitioasa intreprinsa de echipamentele infectate pot fi atribuite, desigur, in mod eronat, persoanelor care le detin, victimelor in cazul de fata. Capabilitatile si pluginurile acestui malware sunt extrem de versatile, permitand hackerului preluarea controlului dispozitivului in cai multiple.”
Sniffere cu malware-ul VPNFilter, colecteaza date de autentificare si informatii legate de traficul generat prin router. De asemenea atacatorii pot utiliza routerele ca puncte discrete in vederea conectarii la tintele finale. Cercetatoriii au declarat ca au descoperit dovezi ca malware-ul contine o comanda care aduce echipamentul intr-o stare inactiva de functionare, capabilitate prin care atacatorii pot opri accesul la internet pentru sute sau mii de persoane, in functie de scopul final al acestora.
Grupare organizata
Nu exista nici un dubiu ca producatorul VPNFilter nu reprezinta un grup organizat. Stagiul 1 al acestui malware consta in infectarea dispozitivelor bazate pe BusyBox, un firmware Linux glorificat pentru diferite arhitecturi CPU. Scopul primar consta in localizarea serverului controlat de catre atacator in Internet in vederea trecerii la stagiul urmator din atac. Stagiul 1 localizeaza serverul prin descararea efectiva a unei imagini de pe siteul photobucket.com urmata de extragerea adresei IP. Daca nu este posibilia descarcarea imaginii pe pe photobucket, atunci malware-ul va incerca acelasi lucru de pe site-ul toknowall.com. Daca si aceasta ultima actiune esueaza, atunci, stagiul 1 va descide un “ascultator” care asteapta o comanda/pachet distinct din partea hackerului. Acest “listener” verifica adrea IP a routerului si o stocheaza pentru utilizarea ulterioare. Toate acestea se pot relua chiar si la restartarea routerului.
Cercetatorii CISCO au descris stagiul 2 al acestui malware ca ” platforma inteligneta de colectare” cu rol de colectare fisiere, executie de comenzi si management dispozitiv. Unele versiuni ale acestui stagiu detin de asemenea posibilitatea de auto-distrugere a echipamentului. Chiar si in lipsa acestei comenzi, cercetatorii CISCO cred ca atacatorii pot utiliza stagiul doi in vederea distrugerii dispozitivelor.
Stagiul 3 contine cel putin doua module plugin. Unul este un sniffer de pachete pentru colectarea traficului gestionat de dispozitiv. Traficul interceptat include date de autentificare pe siteuri si protocoale SCADA Modbus. Un al doilea modul, permite stagiului 2 sa comunice peste serviciul Tor. Cercetatorii CISCO cred ca stagiul 3 contine si alte pluginuri care nu au fost inca descoperite.
Greu de protejat
Chiar si cu un antivirus si firewall activ, routerele tot sunt afectate de acest malware. Nu se cunoaste cu exactitate modul prin care acestea au fost afectate, insa pentru majoritatea echipamentelor exista o lista publica de vulnerabilitati coroborata de utilizarea defectuoasa cu datele implicite de administrare. Printre tipurile de echipamente afectate se numara:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS pentru Routere Cloud Core: Versionile 1016, 1036 si 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Toate NAS-urile QNAP care ruleaza software-ul QTS
- TP-Link R600VPN
Recomandarea specialistilor pentru posesorii routerelor incadrate in lista de mai sus consta in aducerea echipamentului la valorile implicite, proces de regula realizat prin apasarea pret de 5 sau 10 secunde pe butonul de reset. Din pacate aceasta operatiune sterge setarile echipamentului fapt pentru care administratorul este nevoit sa le reconfigureze.
De asemenea se recomanda schimbarea parolelor implicite, efectuarea un update la ultima versiune de firmware disponibila si nu in ultimul rand, dezactivarea functiei de conectare de la distanta.
In acest moment nu exista nici o metoda de determinare daca un router a fost infectat. Nu este inca foarte clar daca prin actualizarea la ultima versiune de firmware si schimbarea datelor de autentificare, previne echipamentul de infectare. Conform cercetatorilor de la CISCO, atacatorii in mod uzual exploateaza vulnerabilitatile cunoscute, insa, data fiind si natura calitatii firmare-urilor pentru integrare IoT, exista posibilitati ca acestia sa exploateze vulnerabilitati care nu sunt cunoscute producatorilor.
Totutsi, din motive de precautie, utilizatorii echipamentelor listate mai sus sunt sfatuiti sa efectueze un reset la valorile implicite, sau cel putin sa restarteze echipamentul. Producatorul fiecarui echipament in parte poate oferi sfaturi in solutionarea unor astfel de probleme.
VPNFilter este o amenintare care trebuie luata in serios deoarece poate afecta desfasurarea activitatii tuturor companiilor care isi desfasoara o parte din activitati in mediul online.
Sursa: www.arstehnica.com