Malware VPNFilter

Numa continuação do post acerca da segurança em IoT irei neste tirar as dúvidas relacionadas com o VPNFilter.

O VPNFilter é um novo tipo de malware que afecta neste momento mais de 500000 dispositivos fabricados pelas várias marcas conhecidas tais como : Linksys, Mikrotik, Netgear, QNAP e TP-Link. Foi detetado em 2016, desde essa data foi mantido sob investigação, e silenciosamente foi afetando cada vez mais dispositivos sendo que o pico está nestas últimas semanas e crê-se que está espalhado em mais de 54 países.

Ataca por meio de redes de computadores e tem como objetivo o roubo de informação sensível e apoio a um possível ciber-ataque a larga escala. A uma maior escala permite ataques com recurso aos vários dispositivos comprometidos sendo que existe até mesmo a funcionalidade para desativar o dispositivo afetado.

Como vimos na formação de 26 de Maio, os sniffers são ferramentas de ataque muito poderosas, eis que este malware contém sniffers  que permitem o roubo de informações como usernames, passwords, e outras informações privadas. Foi criado pelo grupo Sofacy (conhecida também por APT28 e Fancy Bear) e pensa-se que o alvo principal era a Ucrânia devido aos imensos ataques que tem acontecido recentemente, e claro ao cenário de ciber-guerra que está a acontecer.

Afeta principalmente dispositivos a nível doméstico e pequenos escritórios.

O VPNFilter é um malware multi-stage  e modular, ou seja, é muito sofisticado.

Divide-se em três estágios de comprometimento.

  1. Espalha-se localizando servidores alvo com imagens do site Photobucket.com, extrai o endereço IP e verifica quais os dispositivos correm Busybox e firmware baseado em Linux. Sendo uma etapa crucial  que contém vários mecanismos de adaptação para o comprometimento de vários dispositivos caso o download pelo Photobucket.com falhe recorre ao site ToKnowAll.com. Assim que terminado o código core do malware fica no sistema infetado, em modo persistente, e não desaparece mesmo que o dispositivo seja reiniciado.
  2. Após o primeiro stage liga-se ao servidor do segundo stage para que o dispositivo possua as ferramentas necessárias a futuros ataques, neste stage toda a rede fica comprometida existe uma grande recolha de informação e o malware procura novos vetores de ataque para espalhar pelas várias redes.
  3. No ultimo stage o sniffer é ativado, interceta todas as comunicações, toda a informação relativamente a credenciais e monitoriza os protocolos industriais SCADA Modbus. Outros plugins são ativados de modo a automatizar a comunicação através da rede Tor. Tor é utilizado para comunicar com os atacantes a partir de endereços anónimos.

A função de desativação que é incluída neste stage destrói o firmware deixando o dispositivo sem recuperação.

Todos os websites detetados que foram usados para propagar o malware neste momento estão desativados  de modo a conter a disseminação.

Como proteger os dispositivos?

Reiniciar os dispositivos com as definições de fábrica (reset to factory defaults), reiniciar (reboot) para os stages 2 e 3 apenas para os processos, mas o stage 1 vai tentar reinstalar de novo ambos os processos.

Atualizar o firmware pelo site dos fabricantes.

Pode-se considerar que o Malware está a ser uma das maiores armas, no ano passado observou-se como escalou o WannaCry é necessário formar profissionais na área de modo a permitir uma maior contenção e prevenção de malware.

About the Author:

Ethical Hacker, InfoSec Researcher, Red team

Deixe o seu comentário

%d bloggers like this: