Análisis de malware

VPNFilter: una potente botnet de más de 500.000 dispositivos listos para atacar

30 de mayo de por Admin

Botnet VPNFilter: el descubrimiento

Los investigadores de seguridad del grupo Talos, junto con colegas de otras empresas de ciberseguridad y agencias de aplicación de la ley, han descubierto una enorme botnet compuesta por más de 500.000 enrutadores y dispositivos de almacenamiento conectados a la red (NAS) comprometidos.

Los expertos creen que la botnet, identificada como VPNFilter, era producto del gobierno ruso y operada por uno de los grupos APT vinculados al Kremlin.

El malware asociado con la botnet VPNFilter parece muy sofisticado; en el momento de su descubrimiento había comprometido más de 500.000 dispositivos en 54 países.

“Durante varios meses, Talos ha estado trabajando con socios de inteligencia de amenazas de los sectores público y privado y autoridades policiales en la investigación del uso generalizado por parte de un actor avanzado, probablemente patrocinado o afiliado al estado, de un sofisticado sistema modular de malware que llamamos ‘VPNFilter’. ” , se lee en la publicación del blog publicada por Talos.

“No hemos completado nuestra investigación, pero los acontecimientos recientes nos han convencido de que el camino correcto a seguir es compartir ahora nuestros hallazgos para que las partes afectadas puedan tomar las medidas adecuadas para defenderse”.

La investigación aún está en curso, incluso si la botnet fue atribuida a grupos APT vinculados a Rusia, no está claro cómo los atacantes planeaban usarla, de todos modos los expertos en seguridad y las fuerzas del orden decidieron tomar medidas publicando un informe sobre la amenaza y confiscaron un dominio de su infraestructura debido a un inminente ataque masivo impulsado por VPNFilter.

El análisis técnico del código reveló muchas similitudes con otro malware de estado-nación, el malware BlackEnergy , que fue diseñado específicamente para atacar sistemas ISC-SCADA y atribuido a actores de amenazas rusos.

Otra similitud es la distribución geográfica de las infecciones: tanto BlackEnergy como VPNFilter infectaron una gran cantidad de dispositivos en Ucrania.

Según los expertos, en Ucrania se han descubierto muchos dispositivos infectados y su número en el país sigue aumentando. El 8 de mayo, los investigadores de Talos observaron un aumento en la actividad de infección de VPNFilter, la mayoría de las infecciones en Ucrania y la mayoría de los dispositivos comprometidos contactaron con una infraestructura C2 de etapa 2 separada en la IP 46.151..]33.

Los expertos descubrieron que el malware VPNFilter había infectado dispositivos fabricados por Linksys, MikroTik, Netgear, QNAP y TP-Link.

VPNFilter es una variedad de malware modular de varias etapas que tiene una amplia gama de capacidades tanto para ciberespionaje como para sabotaje.

“En el momento de escribir este artículo, conocemos dos módulos de complemento: un rastreador de paquetes para recopilar el tráfico que pasa a través del dispositivo, incluido el robo de credenciales del sitio web y el monitoreo de protocolos Modbus SCADA, y un módulo de comunicaciones que permite que la etapa 2 se comunique a través de Tor. .” continúa el informe.

“Evaluamos con gran confianza que existen otros módulos de complementos, pero aún tenemos que descubrirlos”.

El análisis de malware reveló que la segunda etapa del malware, la que implementa capacidades maliciosas, se puede eliminar de un dispositivo infectado reiniciándolo. Desafortunadamente, la primera etapa del malware implementa un mecanismo de persistencia.

Al momento de escribir este artículo, los expertos aún no han identificado el vector de ataque; Están particularmente preocupados por las capacidades destructivas del malware que podría permitir a los atacantes quemar los dispositivos de los usuarios para ocultar sus huellas.

Parte de la comunidad de ciberseguridad cree que la botnet podría usarse para lanzar un ataque masivo durante la celebración ucraniana del Día de la Constitución; el año pasado se lanzó el ataque Wiper NotPetya en el mismo período.

1: Filtro VPN

“VPNFilter es una amenaza expansiva, robusta, altamente capaz y peligrosa que apunta a dispositivos que son difíciles de defender. Su marco altamente modular permite cambios rápidos en la infraestructura operativa del actor, cumpliendo sus objetivos de atribución errónea, recopilación de inteligencia y búsqueda de una plataforma para realizar ataques”, concluyó Talos.

SCADA/ICS, el objetivo de VPNFilter

El malware VPNFilter se dirige a entornos SCADA/ICS monitoreando los protocolos MODBUS SCADA y extrayendo credenciales de sitios web.

El malware implementa una capacidad destructiva que puede inutilizar un dispositivo comprometido, pero el aspecto más aterrador es que el código malicioso podría activarse a gran escala para llevar a cabo un ataque masivo. Esta última característica tiene el potencial de cortar el acceso a Internet de cientos de miles de sistemas al mismo tiempo.

Según los expertos de Fortinet que analizaron el malware, VPNFilter opera en las siguientes tres etapas:

• La etapa 1 implementa un mecanismo de persistencia y redundancia; permite que el malware sobreviva a un reinicio.
• La etapa 2 incluye filtración de datos, ejecución de comandos, recopilación de archivos y administración de dispositivos. Sólo en algunas versiones está presente un módulo de autodestrucción.
• La etapa 3 incluye múltiples módulos que realizan diferentes tareas. En ese momento, los investigadores identificaron sólo tres módulos:
  • Un rastreador de paquetes para análisis de tráfico y posible filtración de datos.
  • La monitorización de protocolos MODBUS SCADA.
  • Comunicación con direcciones ofuscadas vía TOR

Las principales preocupaciones son un modo de autodestrucción que podría causar daños graves en todos los dispositivos infectados simultáneamente, una característica que potencialmente podría resultar en una interrupción generalizada de Internet en una región geográfica específica.

La respuesta de las agencias encargadas de hacer cumplir la ley

El miércoles, el Departamento de Justicia anunció un esfuerzo para interrumpir la botnet VPNFilter de cientos de miles de enrutadores domésticos y de oficina (SOHO) infectados y otros dispositivos conectados bajo el control de un grupo APT vinculado a Rusia.

El Departamento de Justicia de EE.UU. se había apoderado de un dominio utilizado como parte de la infraestructura de mando y control; en su comunicado de prensa se menciona explícitamente a los grupos APT rusos ( APT28 , Pawn Storm , Sandworm , Fancy Bear y Sofacy Group ) como los operadores detrás de la enorme botnet.

“El Departamento de Justicia anunció hoy un esfuerzo para desmantelar una botnet global de cientos de miles de enrutadores domésticos y de oficina (SOHO) y otros dispositivos en red infectados bajo el control de un grupo de actores conocido como “Sofacy Group” (también conocido como “Sohocy Group ” apt28 ”, “ gusano de arena ”, “agente x”, “ tormenta de peones ”, “ oso elegante ” y “ sednit ”)”, se lee en el comunicado de prensa publicado por el Departamento de Justicia.

“El anuncio de hoy destaca la capacidad del FBI para tomar medidas rápidas en la lucha contra el delito cibernético y nuestro compromiso de proteger al pueblo estadounidense y sus dispositivos”, dijo el subdirector Scott Smith. “Al apoderarse de un dominio utilizado por ciberataques maliciosos en su campaña de botnet, el FBI ha dado un paso fundamental para minimizar el impacto del ataque de malware. Si bien este es un primer paso importante, el trabajo del FBI no ha terminado. El FBI, junto con nuestros socios nacionales e internacionales, continuarán nuestros esfuerzos para identificar y exponer a los responsables de esta ola de malware”.

El Departamento de Justicia había obtenido una orden que autorizaba al FBI a apoderarse del dominio que pertenece a la infraestructura de mando y control de la botnet VPNFilter.

Técnicamente, la operación llevada a cabo por las autoridades estadounidenses se denomina ” hundimiento “, la incautación del dominio permite a las autoridades y a los expertos en seguridad analizar el tráfico malicioso asociado con la botnet para recopilar más información sobre la amenaza y neutralizarla temporalmente.

El análisis del tráfico permite a los investigadores establecer el alcance de la botnet, su distribución geográfica y otros detalles técnicos sobre las formas en que opera (es decir, protocolos de comunicación, mecanismos de evasión, mecanismos para hacer que la botnet sea resistente a las operaciones de adquisición).

“Para identificar los dispositivos infectados y facilitar su reparación, la Fiscalía Federal para el Distrito Oeste de Pensilvania solicitó y obtuvo órdenes judiciales que autorizaban al FBI a apoderarse de un dominio que forma parte de la infraestructura de comando y control del malware”. continúa el Departamento de Justicia.

“Esto redirigirá los intentos de la etapa uno del malware de reinfectar el dispositivo a un servidor controlado por el FBI, que capturará la dirección de Protocolo de Internet (IP) de los dispositivos infectados, de conformidad con el proceso legal. Una organización asociada sin fines de lucro, The Shadowserver Foundation, difundirá las direcciones IP a quienes puedan ayudar a remediar la botnet VPNFilter, incluidos CERT y proveedores de servicios de Internet (ISP) extranjeros”.

Los propietarios de los dispositivos SOHO y NAS comprometidos deben reiniciar sus dispositivos lo antes posible; la operación eliminará temporalmente el malware de segunda etapa y hará que el malware de primera etapa se conecte al dominio CC para recibir instrucciones.

“Aunque los dispositivos seguirán siendo vulnerables a la reinfección con el malware de segunda etapa mientras estén conectados a Internet, estos esfuerzos maximizan las oportunidades para identificar y remediar la infección en todo el mundo en el tiempo disponible antes de que los actores de Sofacy sepan de la vulnerabilidad en su infraestructura de comando y control. ” continúa el Departamento de Justicia.

La vulnerabilidad permanecerá, dijo Justice, pero la medida les permitirá más tiempo para identificar e intervenir en otras partes de la red.

Referencias

https://blog.talosintelligence.com//05/VPNFilter.html

https://securityaffairs.co/wordpress/72829/malware/vpnfilter-botnet.html

https://www.cyberthreatalliance.org/cta-actions-around-vpnfilter/

https://www.fortinet.com/blog/threat-research/defending-against-the-new-vpnfilter-botnet.html

https://securityaffairs.co/wordpress/72851/apt/vpnfilter-botnet-doj.html

https://www.fortinet.com/blog/threat-research/defending-against-the-new-vpnfilter-botnet.html

https://nakedsecurity.sophos.com//05/23/vpnfilter-is-a-malware-timebomb-lurking-on-your-router/

https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected