VPNFilter amenaza routers de casa y pequeñas oficinas


El malware llamado VPNFilter no afecta a grandes empresas sino amenaza directamente a los pequeños routers de hogares y pequeñas oficinas, provoca robo de información, replicación del malware e inhabilitar el router, incluso el reinicio del mismo no arregla el problema como lo dice el FBI.

El dia 25 de Mayo del presente año por medio de los servicios públicos de anuncios, el Buró Federal de Investigaciones de los Estados Unidos de América emitió la alerta con el número I-052518-PSA, específicamente reportado por el Centro de Quejas contra Delitos en Internet (IC3) en donde informaba de forma resumida acerca del ataque de actores cibernéticos extranjeros que habían fijado como objetivo los routers (enrutadores en su traducción al castellano) del sector Hogar y Pequeñas Oficinas para realizar un ataque, por medio de un malware llamado VPNFilter.

Ante esta noticia que se esparcido por internet a una velocidad inimaginable me parece adecuado que se establezcan los parámetros de la misma, así como también los conceptos utilizados en su contenido, para que luego de esta lectura puedan manifestar sus propias conclusiones.

La geopolitica liderada por EEUU y Rusia durante los últimos 5 años ha tomado mucho revuelo y derivado de esto el mundo de la tecnología se ha llenado de dimes y diretes en cuanto a su utilización de ambos bandos para crear caos o bien lograr objetivos, por tal razón ese tema queda excluido de nuestro contenido ya que no es parte de la información que acá se transmite, y aunque en algunas ocasiones se mencione a tales actores es única y exclusivamente para formar una vista más clara para nuestros lectores acerca de nuestro contenido tecnológico.

Vamos a iniciar el tema explicando algunos conceptos y escenarios que nos permitirán visualizar de mejor manera la esencia de esta amenaza, malware es el término utilizado para definir a un programa malicioso, conocido en otros lugares también como badware, dichas palabras fueron formadas de la fusión de los términos malicious software y bad software, dicho software o programa malicioso tiene como objetivo principal infiltrarse en una computadora o bien dañar un sistema de información, el mismo se cataloga en función del daño o los efectos que provoca en el huésped o host, derivado de este efecto el mismo va cambiando de nombre como spyware, adware y otros ejemplos que veremos en otra ocasión.

Dicho esto podemos evaluar el siguiente término: router, que en su traducción significa enrutador tiene la función principal de enviar o encaminar paquetes de datos de una red a otra, básicamente su función es conectar subredes, ¿pero exactamente que implica esto? Toda la información que se genera desde un dispositivo que esté conectado a una red se envía a través de la misma por medio de paquetes y es el router quien tiene la función de decidir hacia donde debe enviarlos y para ello tiene reglas definidas de que acción debe realizar con cada paquete recibido, el cuál ya lleva información del destino al cual debe llegar; por lo tanto si el destino es otro dispositivo que está en la misma red, entonces el router enviará dichos paquetes hacia ese dispositivo para lograr la comunicación, pero si el destino de los paquetes es un dispositivo que no pertenece a su red el router revisa las reglas que tiene definidas y envía los paquetes hacia el exterior de su red, es decir hacia otra red que ya está programada en las reglas del mismo, por lo tanto los paquetes irán saltando de router en router hasta que alcancen su destino final y luego de eso al recibir la respuesta los paquetes viajarán de vuelta hasta llegar al punto de origen, es decir al dispositivo desde donde se enviaron.

Acá pueden observar una imagen que ejemplifica la forma en la que los paquetes realizan su viaje hasta llegar a su destino y luego regresar al punto de origen para que en este caso, según nuestro ejemplo, los usuarios de los equipos puedan ver una página web determinada.

¿Qué es un Filtro VPN? o bien como menciona el aviso: VPNFilter

Para las personas que pertenecen al mundo de la tecnología, específicamente del mundo de las redes han escuchado hablar de este término muy a menudo y es que como su nombre lo indica los filtros VPN brindan la capacidad de permitir o denegar tráfico que ha sido desencriptado después de salir del túnel, y a su vez el tráfico que ya fue encriptado antes de que ingrese al túnel.

En esta descripción también se menciona el término VPN, el cuál traducido del idioma inglés significa Red Privada Virtual (Virtual Private Network), la VPN permite crear una extensión segura de la red de área local a través de una red no segura como lo es internet. En pocas palabras si usted se encuentra en su oficina y necesita conectarse desde su casa para poder acceder a ciertos servicios y privilegios que sólo la red de su trabajo posee, entonces por medio de internet se puede conectar de forma segura utilizando una VPN y en segundos estará conectado tal cual y estuviese sentado en su escritorio. Esta tecnología permite crear un canal o túnel que funciona de punto a punto pasando por todos los dispositivos de red necesarios (como los routers) en donde toda la información que se transmite en dicho canal se encuentra encriptada por seguridad, ya que si en algún momento alguien decide ponerse a "escuchar" la información que pasa por dicho túnel no podrá ver nada debido al código de encriptación de datos, simplemente tendrá información sin sentido que no podrá ser revisada, leída o utilizada.

Comprendiendo la Amenaza

Ahora que ya los términos básicos involucrados se encuentran explicados vamos a ampliar la información relacionada a dicho anuncio del IC3, la cuál fue retransmitida y detallada por varias empresas y marcas reconocidas a nivel mundial por su amplia experiencia en Seguridad Informática.

Está amenaza está catalogada como sofisticada ya que a simple vista no fue detectable sino hasta que se realizó un trazado completo del funcionamiento y los hallazgos fueron abrumadores, que adicionalmente aún no se han completado. Para iniciar fue nombrado VPNFilter debido a las funciones indetectables que realiza, pero el punto de partida fue el descubrimiento del código fuente del malware, el cual estaba sobrepuesto en otro código malicioso llamado BlackEnergy, el cual en su momento fue el responsable de muchos ataques a gran escala que estaban dirigidos a dispositivos del país de Ucrania.

Lo que si está confirmado es que VPNFilter es un malware potencialmente destructivo y ha infectado dispositivos de red en Ucrania a un ritmo exponencial, de hecho ya se ha instalado en la Infraestructura C2 (se conoce por este nombre porque ha este punto el atacante ya se encuentra en el entorno de Mando y Control, es decir que ya puede controlar remotamente el funcionamiento del malware modificandolo a su conveniencia). Inicialmente se replicó únicamente en Ucrania, pero actualmente se tiene conocimiento que ha infectado al menos medio millón de dispositivos en 54 países.

Los dispositivos de redes que ya se vieron afectados por este malware pertenecen a las marcas: MikroTik, Linksys, NETGEAR y TP-Link, especificamente los que están configurados bajo el criterio SOHO (Small Office and Home Office), así como también los dispositivos de almacenamiento en red (NAS) de la marca QNAP.

El resto de fabricantes aún no reportan intrusiones en sus sistemas operativos, sin embargo estamos a la espera de la comunicación oficial de Cisco, HP, DELL, Ubiquiti y Juniper. Es importante saber que si el dispositivo de red o router que esté en sus instalaciones el mismo puede causar inhabilitación del mismo, es decir si el atacante decide modificar el malware para que su equipo se desactive, así será, de igual manera su router podrá ser utilizado para un ataque masivo cuando el momento llegue.

¿Qué hacer para proteger su router?

Si en algo no ha acertado la mayoría de medios y la información no ha sido verificada antes de publicarla, es que reiniciar el router no resolverá el problema en lo absoluto, tal y como vimos en el ejemplo anterior una VPN es una conexión que funciona de punto a punto, así que si usted solo reinicia su router la conexión creada por el malware se suspenderá unos minutos y luego cuando su router esté encendido la conexión se va a restaurar y el problema seguirá ahí, por eso les recomendamos seguir estos pasos:

  • Si la marca de su router se encuentra en el listado de fabricantes arriba descrito, o bien si posee un dispositivo de almacenamiento NAS del fabricante afectado deberá restablecerlo a los valores de fábrica y reiniciarlo, esto eliminará por completo el malware en su equipo.

  • Los proveedores de servicios de internet podrán realizar este procedimiento para sus clientes si así lo consideran necesario para todos los usuarios con routers SOHO, regularmente las configuraciones a excepción de la inicial la realizan vía remota.

  • Si tiene un dispositivo de red del cual sospecha que pueda estar infectado, se recomienda que inmediatamente se comunique con el fabricante para iniciar a trabajar en el equipo, por favor no intente repararlo por cuenta propia.

  • Actualice el software de su router a la última versión posible de acuerdo a las versiones liberadas por el fabricante de su producto.

Detalles Finales

Hasta el momento aún no se tienen claros los objetivos de los atacantes, sin embargo muchos lo han relacionado con organizaciones de origen ruso, debido al código de BlackEnergy.

EEUU emitió la alerta debido al alcance que este ataque pueda tener, sobre todo después de la información filtrada en donde indican que las últimas elecciones generales de su país fueron saboteadas.

De acuerdo con la información forense el origen de esta amenaza se ha rastreado hasta mediados del año 2016, fecha desde la cual el malware se encuentra activo y replicando.

Los dispositivos que ataca son difíciles de defender ya que los usuarios con routers de casa o pequeñas oficinas representan el mayor número de clientes en sus servicios.

En Guatemala los 3 proveedores más grandes de internet cuentan desde hace algunos años con equipos IMS (IP Multimedia Subsystem) todos fabricados por Huawei que hasta el momento no se tiene reporte del fabricante chino por algún problema en sus modelos; este IMS les permite controlar todo el tráfico que fluye por sus redes y bloquearlo de ser necesario, por lo que al momento de percibir una amenaza estarán enterados en todo momento de lo que sucede, esperemos no tengamos que lidiar con este malware.

#Cisco #router #malware #VPNFilter #FBI #IC3 #Paquetes #Subredes #Redes #seguridad #informática

44 vistas
  • Negro Facebook Icono
  • Icono negro LinkedIn

3a Avenida 17-38 zona 12, 01012  -  Ciudad de Guatemala, Guatemala

Todos los derechos reservados. CentraRED - Central de Redes y Tecnología 2020.