Botnet de 500000 routers pirateados
Investigadores de seguridad de Cisco han detectado una botnet gigante de routers pirateados que parece estar preparándose para un ciberataque en Ucrania
Los investigadores dicen que la botnet se creó al infectar los enrutadores domésticos con una nueva cepa de malware llamada VPNFilter.
Esta cepa de malware es increíblemente compleja en comparación con otros tipos de malware IoT, y viene con soporte para persistencia de arranque (el segundo malware IoT / enrutador para hacerlo), escaneando componentes SCADA y un limpiador de firmware / función destructiva para incapacitar a los dispositivos afectados.
Es muy probable que Rusia esté preparando un ciberataque contra Ucrania
Cisco dice que encontró una superposición de código con BlackEnergy, una cepa de malware que se ha utilizado para paralizar la red eléctrica de Ucrania en el invierno de 2015 y 2016.
El Departamento de Seguridad Nacional de los EE.UU. ha acusado a los ciber-espías rusos de ser los creadores del malware BlackEnergy y los autores de los ataques a la red eléctrica de Ucrania de 2015 y 2016.
Varios países también han acusado a Rusia de lanzar el ataque NotPetya ransomware, que inicialmente también estaba destinado a Ucrania. Aunque no se han hecho acusaciones oficiales, muchos también creen que Rusia lanzó el ransomware Bad Rabbit, también dirigido principalmente a compañías ucranianas.
Rusia también es el principal culpable del ataque cibernético que sacudió la ceremonia de inauguración de los Juegos Olímpicos de Invierno de 2018 en Corea del Sur con el malware "Destructor Olímpico" después de que el Comité Olímpico Internacional prohibió el país para el evento.
Ahora, los expertos en seguridad creen que Rusia puede estar preparando otro ataque contra Ucrania, pero esta vez usando una botnet de enrutadores infectados.
VPNFilter botnet tiene más de 500,000 dispositivos pirateados
Cisco dice que detectó el malware VPNFilter en más de 500000 routers fabricados por Linksys, MikroTik, NETGEAR y TP-Link, pero también desde dispositivos NAS de QNAP.
Cisco dice que no se usaron días cero para crear esta botnet, sino solo vulnerabilidades públicas más antiguas.
Symantec dice que detectó malware de VPNFilter en los siguientes dispositivos: Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS para Cloud Core Routers: versiones 1016, 1036 y 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro
Los signos de la existencia de esta botnet se remontan a 2016, pero los investigadores dicen que Botnet comenzó una intensa actividad de exploración en los últimos meses, creciendo a un tamaño enorme.
Los dispositivos infectados se encontraron en 54 países, pero Cisco dice que los creadores del botnet se han centrado en infectar enrutadores y dispositivos IoT ubicados en Ucrania en las últimas semanas, incluso creando un servidor dedicado de comando y control para administrar estos bots ucranianos.
No está claro cuáles son sus intenciones, pero Cisco teme que un nuevo ataque pueda llegar muy pronto, ya que la botnet está incrementando sus operaciones.
Los objetivos más probables para un ataque cibernético son el sábado 26 de mayo , fecha de la final de fútbol de la UEFA Champions League, que tendrá lugar este año en la capital de Ucrania, Kiev. Otra fecha plausible es el Día de la Constitución de Ucrania, el 27 de junio , fecha del ciberataque NotPetya del año pasado.
VPNFilter es una variedad muy compleja de malware IoT
Los expertos de Cisco no hacen sonar la alarma de esta cepa de malware en vano. El malware VPNFilter es una de las cepas de malware de IoT / enrutador más complejas y capaz de comportamientos bastante destructivos.
Para empezar, el malware opera en tres etapas. El bot Stage One es el más liviano y simple, ya que su única función es infectar el dispositivo y obtener la persistencia de arranque.
Hasta hace unas semanas, ninguna cepa de malware IoT había sido capaz de sobrevivir a los reinicios de dispositivos, con el botnet Hide and Seek convirtiéndose en el primero a principios de este mes. Pero de acuerdo con un informe de Symantec, los usuarios pueden eliminar el malware Stage One realizando un llamado "restablecimiento completo", también conocido como un restablecimiento de la configuración de fábrica.
El módulo de malware VPNFilter de la Etapa Dos no sobrevive al reinicio del dispositivo, sino que se basa en el módulo de la Etapa Uno para volver a descargarlo cuando el usuario reinicie (y limpie inadvertidamente) su dispositivo.
La función principal de este módulo de la Etapa Dos es admitir una arquitectura de complemento para los complementos del Estado Tres.
Cisco dice que hasta ahora ha detectado complementos de Stage Three que pueden:
- Detectar paquetes de red y interceptar el tráfico
- Controlar la presencia de protocolos Modbus SCADA
- Comunicarse con los servidores de C & C a través de la red Tor
Cisco sospecha que los operadores de VPNFilter han creado otros módulos que no han desplegado hasta este momento.
Infraestructura VPNFilter
VPNFilter es también un limpiador: Pero a pesar de no tener persistencia de arranque, el módulo de la Etapa Dos también es el más peligroso, ya que contiene una función de autodestrucción que sobrescribe una parte crítica del firmware del dispositivo y reinicia el dispositivo.
Esto hace que cualquier dispositivo no se pueda utilizar, ya que el código necesario para iniciar el dispositivo se ha reemplazado por datos confusos.
"Esta acción es irrecuperable para la mayoría de las víctimas, que requieren capacidades técnicas, conocimientos técnicos o herramientas que ningún consumidor debería tener", dijeron hoy los investigadores de Cisco en un informe sobre VPNFilter. "Estamos profundamente preocupados por esta capacidad".
Actualmente, hay varios modos en que los atacantes podrían usar VPNFilter
- Podrían usarlo para espiar el tráfico de red e interceptar credenciales para redes sensibles
- Podrían espiar el tráfico de la red dirigiéndose al equipo SCADA e implementar malware especializado que apunta a la infraestructura ICS
- Podrían usar los dispositivos pirateados de la botnet para ocultar la fuente de otros maliciosos ataques
- Podrían paralizar los enrutadores y dejar inutilizable una gran parte de la infraestructura de Internet de Ucrania
En abril, los expertos de Kaspersky Lab señalaron que varios grupos de ciberespionaje del estado-nación comenzaron a incorporar en su infraestructura de ataque enrutadores pirateados.
Cisco también ha publicado un artículo sobre la tendencia ascendente del uso de limpiaparabrisas en operaciones de malware.