2018/06/08

Malware VPNFilter é pior do que se pensava


O malware VPNFilter que já infectou mais de meio milhão de routers em mais de meia centena de países continua a fazer estragos, e os investigadores dizem que este malware é muito pior do que se pensava inicialmente.

Este malware, que já levou à recomendação de que se fizesse um reboot a todos os routers domésticos, desde logo intrigou os investigadores de segurança devido à sua sofisticação e aos métodos que eram utilizados para impedir que se descobrissem as suas capacidades - e afinal havia bons motivos para isso, pois o VPNFilter tem capacidades que vão para além daquilo que se imaginava.

Foi descoberto um módulo de ataque que intercepta as comunicações na rede para tentar apanhar as passwords dos utilizadores, e que até tem a capacidade de tentar baixar a segurança de uma ligação HTTPS para apenas HTTP para conseguir acesso facilitado aos dados, e desactiva a compressão de dados para mais facilmente conseguir modificar e injectar conteúdos nas páginas que são apresentadas.

Inicialmente pensava-se que o propósito do VPNFilter fosse criar uma botnet para ataques DDoS a partir dos routers infectados; mas a descoberta deste módulo demonstra que o propósito principal poderá mesmo ser o roubo de dados e credenciais das vítimas que usem routers infectados por este malware, sendo que existe uma quantidade significativa de routers vulneráveis no mercado - também mais dos que se pensavam, e que atiram o número de potenciais alvos para perto de um milhão de equipamentos:

  • Asus: RT-AC66U; RT-N10; RT-N10E; RT-N10U; RT-N56U; RT-N66U
  • D-Link: DES-1210-08P; DIR-300; DIR-300A; DSR-250N; DSR-500N; DSR-1000; DSR-1000N 
  • Huawei: HG8245 
  • Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
  • Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • QNAP: TS251, TS439 Pro, outros NAS com QTS
  • TP-Link: R600VPN, TL-WR741ND, TL-WR841N
  • Ubiquiti: NSM2, PBE M5
  • Upvel: diversos modelos
  • ZTE: ZXHN H108N

Foram também descobertos módulos que procuram sistemas de controlo industrial bastante específicos, em endereços IP pré-definidos; assim como um módulo de "auto-destruição" que remove todos os vestígios do VPNFilter e de seguida elimina todos os conteúdos do router, potencialmente inutilizando-o.

O método de infecção é também bastante complexo, uma vez que muitos dos módulos avançados não são capazes de resistir a um reboot. Por isso, um router que já esteja infectado de forma persistente, acede a imagens alojadas no Photobucket, que contêm informação codificada que diz aos routers onde estão os servidores principais de controlo - e quando essas imagens foram removidas, o malware tinha um método alternativo como backup, através de um serviço no domínio ToKnowAll.com - que foi o domínio que entretanto foi apoderado pelas autoridades, dando origem ao pedido inicial de reboot dos routers, para que ficassem com o malware desactivado.

Nada como usar routers de fabricantes que garantam actualizações regulares (ou até mesmo usar fimrwares alternativos, como o DD-WRT ou Tomato, que até ao momento parecem estar imunes ao VPNFilter) e também desactivar todas as funcionalidades que possam servir como porta de entrada para estes elementos indesejados - como a administração remota - a não ser que sejam absolutamente indispensáveis.


Actualização: A QNAP contactou-nos a referir que a vulnerabilidade em questão já se encontra resolvida desde meados de 2017, e que quem se quiser certificar disso poderá descarregar o Malware Remover a partir do QTS App Center para analisar o seu NAS.

3 comentários:

  1. Para um leigo, os routers das operadoras nacionais estão vulneráveis?

    ResponderEliminar
  2. O da Vodafone é um Huawei pelo menos o da última geração é um HG 8247 G, não está na lista, mas..... tenho de ligar para a Vodafone para saber, tenho também um Xiaomi ligado em bridge que também não está na lista, mas estas noticias de um alargamento muito substantivo de equipamentos já afectados não me tranquiliza.

    ResponderEliminar
  3. Já liguei para a Vodafone porque as minhas suspeitas é que o modelo usado seja o mesmo que o que está indicado como estando infectado com algumas variantes, a primeira surpresa foi que pelo menos o operador que me atendeu não tinha conhecimento deste malware, e também não tinha conhecimentos para me dizer se o router usado o 8247 G e nalguns casos o H seriam uma variantes especifica para os operadores ou mesmo para a Vodafone .
    Resumindo não fiquei nada descansado, dizem que têm firewalls e mais não sei o quê, mas todos sabemos o que aconteceu há pouco tempo atrás .

    Eu tenho um Xiaomi em bridge que se calhar vou tentar usar como principal , fico sem o telefone fixo , mas isso para mim é igual , só tenho de fazer algumas configurações de forma a ficar com a TV a funcionar, mas hoje vai ser mesmo essa a minha task.

    ResponderEliminar