El FBI ha logrado tomar el control de un servidor clave en una botnet creada por un grupo de hackers rusos llamado Fancy Bear. El malware responsable de la infección, llamado VPNFilter, afecta al menos a unos 500.000 routers y NAS en todo el mundo.
Los expertos en seguridad de Cisco y de Symantec fueron los responsables de detectar esa amenaza global que según sus datos está presente en 54 países. Dispositivos de Linksys, MikroTik, NetGear y TP-Link están afectados por el problema, pero el golpe de efecto del FBI le ha dado la vuelta a la situación.
Malware dirigido a tu router, no a tu PC
VPNFilter es la base de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha por Talos, la división de inteligencia de ciber-seguridad de Cisco. La gran mayoría de equipos están conectados directamente a Internet (sin mecanismos de seguridad intermedios), y coordinados a través de una red TOR privada (red anónima de dispositivos).
Como explican en Cisco, los atacantes podrían mediante esta botnet compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un ‘kill switch’ (interruptor de apagado), también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales.
Ucrania ha sufrido el mayor pico de infecciones, con un elevado incremento durante la primera quincena de mayo. El malware, denominado ‘VPNFilter’ al instalarse en dicho directorio, tiene similitudes de código con BlackEnergy, un malware que ya fue responsable de múltiples ataques a gran escala a dispositivos en Ucrania. Este mismo grupo de hackers logró interferir en la campaña electoral de Hillary Clinton en 2016.
El FBI contraataca
La detección del malware en un router doméstico en Pittsburgh permitió al FBI analizar el malware y tratar de buscar puntos débiles. Los encontraron: si la víctima reiniciaba el router infectado, los plugins maliciosos desaparecían aunque el código base del malware seguía presente.
El análisis de ese código permitió desvelar su funcionamiento: en primer lugar comprobaba imágenes en Photobucket que ocultaban información en sus metadatos, y si no las encontraba se conectaba a un punto de control auxiliar en la URL ToKnowAll[.]com.
Eso le dio al FBI la pista a seguir: pidieron una orden judicial para tomar control de dicho dominio, lo que permitió al FBI meterse de lleno en las operaciones de esta botnet. Con esa toma de control el FBI pudo evitar buena parte de la amenaza: "el malware no es persistente y no sobrevivirá si se reinicia el router", explicaban los expertos de Symantec.
Gracias al acceso a ese dominio los expertos del FBI están recolectando las direcciones IP de todos los routers afectados que están "llamando a casa", algo que permitirá erradicar el problema. En Symantec destacaban que aunque algunos proveedores de internet pueden reiniciar los routers de forma remota, también están enviando mensajes a los afectados para reiniciar sus dispositivos.
La orden judicial solo permite al FBI recolectar metadatos como la dirección IP de la víctima, pero no el contenido de las comunicaciones que se realizan ni se realizaron en el pasado. "No hay datos que se filtren desde esos routers al dominio que ahora está controlado por la agencia, explicaba Vikram Thakur, director técnico de Symantec.
¿Cómo solucionar el problema?
Como revelan en Symantec, los usuarios de los dispositivos afectados deberían reiniciar esos dispositivos en cuanto les sea posible. Si lo hacen se eliminarán los componentes destructivos de VPNFilter, algo que hace recomendable (comos siempre) la actualización a nuevas versiones del firmware de esos dispositivos que corrigen el problema.
Si queremos estar seguros del todo, otra opción es hacer un "hard reset" del dispositivo, que hace que éste se inicie con la configuración de fábrica. Esta acción, eso sí, elimina detalles de configuración y credenciales que hubiésemos almacenado, y de las que debemos tener una copia de seguridad.
Los routers y NAS afectados por el problema son los siguientes según Symantec y Cisco son los siguientes:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
Mikrotik RouterOS for Cloud Core Routers: Versiones 1016, 1036, and 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
Otros dispositivos NAS de QNAP con el software QTS
TP-Link R600VPN
Más información | DoJ