Hace dos semanas recogíamos una información bastante peligrosa. Rusia, al parecer, había diseñado VPNFilter, un malware capaz de colarse en decenas de modelos de routers en todo el mundo aprovechándose de una vulnerabilidad no parcheada. Aunque afectó principalmente a Rusia, la presencia del malware VPNFilter fue detectada en 54 países de todo el mundo. Ahora han surgido más datos sobre él, y es más peligroso de lo que creíamos.
VPNFilter también puede saltarse HTTPS
Los hackers, que trabajan para Rusia, habían infectado 500,000 routers en todo el mundo antes de que el FBI tomara el control del servidor que manejaba la red de dispositivos infectados, la cual podía usarse para crear un ataque DDoS masivo. La subdivisión Talos, de Cisco, informa que el malware puede realizar ataques de man-in-the-middle en trafico web entrante. Así, pueden inyectar contenido malicioso junto con el tráfico que pasa por el router infectado, modificando el contenido de las webs que vemos.
Este módulo de inyección, llamado “ssler”, está diseñado también para extraer información sensible entre los dispositivos conectados al router y la red. Para ello, analiza las URL de las páginas para detectar señales que indiquen que se está transmitiendo una contraseña o cualquier otra información sensible, y las envía a servidores que el atacante todavía tiene bajo su control a pesar de que hayan pasado dos semanas desde que fue publicada la existencia de este malware.
Sin embargo, lo más peligroso que hace el malware es saltarse el cifrado TLS, degradando las conexiones HTTPS a HTTP para poder leerlas en texto plano. Así, cambian las cabeceras para hacer creer que el dispositivo final no soporta conexiones cifradas. Además, tiene un comportamiento determinado con tráfico que va hacia Google, Facebook, Twitter o YouTube, probablemente debido a que usan funcionalidades de seguridad adicionales. Google, por ejemplo, lleva años redirigiendo el tráfico HTTP a sus servidores HTTPS.
Con esto, los atacantes pueden hacer cosas como modificar el número que ves en el balance de tu cuenta corriente y que todo se vea correcto, pero en realidad estén vaciando tu cuenta. Tienen control total sobre tu ordenador.
Hay 60 modelos más de routers afectados por VPNFilter
Inicialmente se creía que VPNFilter lo que buscaba era crear una botnet con los dispositivos infectados para lanzar ataques DDoS. Sin embargo, además de poder hacer esto, los propios usuarios de los routers infectados también son objetivos de este ataque. Además, se ha descubierto que hay más modelos afectados por este ataque, con marcas como ASUS, D-Link, Huawei y ZTE. Se estima que esto añade 200,000 usuarios adicionales afectados por la vulnerabilidad.
El listado completo es el siguiente:
- ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
- D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
- Huawei: HG8245
- Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
- Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
- Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
- QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
- TP-Link: R600VPN, TL-WR741ND, TL-WR841N
- Ubiquiti: NSM2, PBE M5
- Upvel: modelos desconocidos
- ZTE: ZXHN H108N