Hace ya varios meses, el equipo de Cisco Talos descubrió una botnet que infectó a más de 500.000 dispositivos a nivel mundial, en mayo de este año.
El malware fue atribuido a un grupo Ruso llamado APT 28, también conocido como FancyBear, el cual tiene como objetivo poder infectar routers y equipos de red incluidos los equipos Linksys, Mikrotik, Netgear, TP-Link, QNAP, Asus, D-Link, Huawei, ZTE, Ubiquiti, y UPVel.
Inicialmente, se descubrió que VPNFilter se había creado con múltiples módulos de ataque que podrían implementarse en los routers infectados para robar credenciales de sitios web y monitorear controles industriales o sistemas SCADA, como los que se usan en redes eléctricas, otras infraestructuras y fábricas.
Sin embargo, en un nuevo informe publicado por el equipo de seguridad Talos Intelligence de Cisco, los investigadores dijeron que exploraron muestras recientes de VPNFilter y encontraron siete nuevos módulos de "tercera etapa" que incluso pueden explotar las redes infectadas, permitiendo a los atacantes robar datos y crear una red encubierta para su servidor de comando y control para futuros ataques.
Ahora investigadores de Seguridad descubrieron nuevos módulos en una muestra del malware que ataco hace algunos meses:
- htpx: este módulo redirige e inspecciona las comunicaciones HTTP con el objetivo de identificar la presencia de ejecutables de Windows en el tráfico de la red. Los investigadores creen, con moderada confianza, que los atacantes podrían aprovechar este módulo para inyectar códigos maliciosos en archivos binarios sobre la marcha a medida que atraviesan dispositivos comprometidos.
- ndbr: este módulo es una utilidad multifuncional de shell seguro (SSH) que permite a un atacante remoto convertir un dispositivo comprometido en un servidor SSH, un cliente SSH o un escáner de puerto NMAP. Usando el protocolo SCP, la utilidad ndbr también puede permitir la transferencia de archivos.
- nm - Este es un módulo de mapeo de red que se puede usar para realizar reconocimientos a partir de los dispositivos comprometidos. Además de esto, también utiliza el protocolo de descubrimiento de red MikroTik (MNDP) para localizar cualquier otro dispositivo MikroTik en la red local.
- netfilter: este módulo es una utilidad de denegación de servicio que permite a un atacante establecer la regla de IPtables en el firewall y bloquear conjuntos de direcciones de red.
- portforwarding: este módulo reenvía el tráfico de red a una infraestructura específica, lo que permite a los atacantes interceptar las conexiones de red.
- socks5proxy: este módulo configura un proxy SOCKS5 en el dispositivo comprometido, lo que permite a los atacantes construir una red distribuida de proxies que podría aprovecharse en futuros ataques. No utiliza autenticación y está codificado para escuchar en el puerto TCP 5380.
- tcpvpn: este módulo configura una VPN de TCP inverso en el dispositivo comprometido, lo que permite a los atacantes remotos acceder a las redes internas detrás de los dispositivos infectados.
Los investigadores de Talos lanzaron el plugin "Winbox Protocol Dissector" en GitHub para permitir a los ingenieros de redes detectar y analizar el tráfico de Winbox, capturado usando herramientas como Wireshark, y monitorear el uso del protocolo explotado de Mikrotik.
Dado que los usuarios pueden deshacerse del ataque de la segunda etapa reiniciando sus enrutadores, la primera etapa aún permanece atrás, lo que permite a los atacantes restablecer las conexiones al dispositivo reiniciar y reinstalar la segunda etapa de VPNFilter de forma remota.
Afortunadamente, los investigadores creen que VPNFilter se ha neutralizado por completo, pero es difícil conocer las intenciones futuras de los actores de amenazas que crearon este sofisticado paquete de malware de etapas múltiples y todo en uno.
