Numa continuação do post acerca da segurança em IoT irei neste tirar as dúvidas relacionadas com o VPNFilter.
O VPNFilter é um novo tipo de malware que afecta neste momento mais de 500000 dispositivos fabricados pelas várias marcas conhecidas tais como : Linksys, Mikrotik, Netgear, QNAP e TP-Link. Foi detetado em 2016, desde essa data foi mantido sob investigação, e silenciosamente foi afetando cada vez mais dispositivos sendo que o pico está nestas últimas semanas e crê-se que está espalhado em mais de 54 países.
Ataca por meio de redes de computadores e tem como objetivo o roubo de informação sensível e apoio a um possível ciber-ataque a larga escala. A uma maior escala permite ataques com recurso aos vários dispositivos comprometidos sendo que existe até mesmo a funcionalidade para desativar o dispositivo afetado.
Como vimos na formação de 26 de Maio, os sniffers são ferramentas de ataque muito poderosas, eis que este malware contém sniffers que permitem o roubo de informações como usernames, passwords, e outras informações privadas. Foi criado pelo grupo Sofacy (conhecida também por APT28 e Fancy Bear) e pensa-se que o alvo principal era a Ucrânia devido aos imensos ataques que tem acontecido recentemente, e claro ao cenário de ciber-guerra que está a acontecer.
Afeta principalmente dispositivos a nível doméstico e pequenos escritórios.
O VPNFilter é um malware multi-stage e modular, ou seja, é muito sofisticado.
Divide-se em três estágios de comprometimento.
- Espalha-se localizando servidores alvo com imagens do site Photobucket.com, extrai o endereço IP e verifica quais os dispositivos correm Busybox e firmware baseado em Linux. Sendo uma etapa crucial que contém vários mecanismos de adaptação para o comprometimento de vários dispositivos caso o download pelo Photobucket.com falhe recorre ao site ToKnowAll.com. Assim que terminado o código core do malware fica no sistema infetado, em modo persistente, e não desaparece mesmo que o dispositivo seja reiniciado.
- Após o primeiro stage liga-se ao servidor do segundo stage para que o dispositivo possua as ferramentas necessárias a futuros ataques, neste stage toda a rede fica comprometida existe uma grande recolha de informação e o malware procura novos vetores de ataque para espalhar pelas várias redes.
- No ultimo stage o sniffer é ativado, interceta todas as comunicações, toda a informação relativamente a credenciais e monitoriza os protocolos industriais SCADA Modbus. Outros plugins são ativados de modo a automatizar a comunicação através da rede Tor. Tor é utilizado para comunicar com os atacantes a partir de endereços anónimos.
A função de desativação que é incluída neste stage destrói o firmware deixando o dispositivo sem recuperação.
Todos os websites detetados que foram usados para propagar o malware neste momento estão desativados de modo a conter a disseminação.
Como proteger os dispositivos?
Reiniciar os dispositivos com as definições de fábrica (reset to factory defaults), reiniciar (reboot) para os stages 2 e 3 apenas para os processos, mas o stage 1 vai tentar reinstalar de novo ambos os processos.
Atualizar o firmware pelo site dos fabricantes.
Pode-se considerar que o Malware está a ser uma das maiores armas, no ano passado observou-se como escalou o WannaCry é necessário formar profissionais na área de modo a permitir uma maior contenção e prevenção de malware.
