A mediados el presente año mostramos las destructivas capacidades de VPNFilter,
un malware con el que se consiguió crear una botnet compuesta por
500.000 routers infectados ubicados en 54 países diferentes. Debido a su
gran impacto, en su momento se sospechó que podría estar apoyado por
algún estado, con Rusia como principal sospechoso.
Los malware
raras veces se quedan estancados, sino que van evolucionando con el fin
de adaptarse y superar las nuevas barreras que se les va poniendo.
VPNFilter no parece ser una excepción aquí, ya que diversos
investigadores de Talos han descubierto nuevos módulos que
muestran que sus capacidades están mucho más extendidas y son más
softisticadas de lo que se creía en un principio.
Después de realizar ingeniería inversa a siete módulos adicionales de la tercera fase, que tienen por nombres htpx, ndbr, nm, netfilter, portforwarding, socks5proxy, y tcpvpn,
los investigadores han descubierto que el malware tiene nuevas
capacidades, entre las que se encuentran funciones de mapeado de red,
una utilidad de denegación de servicio y técnicas de ofuscación del
tráfico, a las cuales se añade un método de exploración y explotación de
víctimas adicionales que sean accesibles mediante la red local desde
dispositivos ya infectados. Esto quiere decir que VPNFilter tiene a las
organizaciones entre sus víctimas prioritarias, a la vez que solo las
que incluyan medidas de defensa avanzadas y organizadas pueden
combatirlos de forma efectiva.
El módulo nm añade una importante capacidad al malware, permitiéndole escanear y mapear otros dispositivos que se encuentren en la misma red que el dispositivo infectado.
Una vez haya sido descargado, el módulo establece una solicitud de eco
ICMP al host infectado, que luego intentará mapear a través de la red
para realizar un escaneo de los puertos. Aplicado a un router de
MikroTik, permite extraer la dirección MAC, la identidad del sistema, el
número de versión, el tipo de la plataforma, el tiempo de actividad en
segundos, el ID del software de RouterOS, el modelo de RouterBoard y el
nombre de la interfaz.
Por su parte, htpx es un módulo de explotación de endpoint
que habilita la inyección del ejecutable. Básicamente se pone a
inspeccionar comunicaciones HTTP e identifica la presencia de
ejecutables de Windows. Una vez detectados, el módulo se dedica a
marcarlos. Sin embargo, los investigadores han mostrado sus reservas en
torno a su efectividad para llevar a cabo la descarga de alguna carga
maliciosa en formato binario y el parcheo sobre la marcha de ejecutables
de Windows a medida que pasan a través de los dispositivos
comprometidos.
netfilter es el módulo encargado de la denegación de servicio,
el cual ha sido diseñado para entrar en acción de formas específicas en
algunas aplicaciones cifradas. Posiblemente intente forzar a la víctima
para que utilice el servicio que los cibercriminales quieran. Los
investigadores llegaron a esa conclusión tras analizar un lista con 168
direcciones IP conectadas a aplicaciones cifradas como WhatsApp. También se han detectado QQ Chat, Wikr y Signal, pero curiosamente no Telegram.
ndbr es una herramienta multifuncional de SSH que puede escanear puertos de otras direcciones IP, portfowarding es una herramienta que reenvía el tráfico de red a una infraestructura especificada por el atacante, tcpvpn establece una conexión VPN de TPC inversa sobre los dispositivos comprometidos, y socks5proxy habilita el establecimiento de un proxy SOCKS5 en los dispositivos comprometidos.
Pese
a todos estos hallazgos, sigue quedando una incógnita: ¿Quién está
detrás de VPNFilter? Los investigadores de Talos siguen creyendo que lo
más probable es que se trate de algún grupo patrocinado por un estado,
ya que han conseguido vincular código de VPNFilter con el desarrollado
por los responsables de BlackEnergy, que fue empleado en varios ataques llevados a cabo en Ucrania.
0 Comentarios