╔════════════════╗
VPN Filter
╚════════════════╝
VPN Filter
╚════════════════╝
¿Que es?
════════════════
Es un terrible malware que afecta a los routers, este “pequeño” malware nos puede destrozar completamente la vida ya que es muy sofisticado, tanto que el FBI a pedido a ESCALA MUNDIAL que reiniciemos nuestros routers (Explico en el funcionamiento porque) y la gran compañia cisco nos recomienda que restablezcamos nuestro router a valores de fábrica y reinstalemos el último firmware.════════════════
¿Qué tan sofisticado es?
════════════════
Es muy sofisticado debido a que es muy silencioso en su primera etapa, es muy difícil saber si estas infectado o no, en su segunda etapa se han encontrado tres módulos, uno un sniffer, otro que busca de componentes SCADA, y lo peor de todo es que el tercer módulo de este malware puede escribir una cantidad de bits dejando tu dispositivo inutilizable, este módulo es un limpiador de firmware════════════════
¿A qué routers afecta?
════════════════
Por ahora se a descubierto que afecta al siguiente listado de routers:════════════════
-Linksys E1200
-Linksys E2500
-Linksys WRVS4400N
-Mikrotik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
-Netgear DGN2200
-Netgear R6400
-Netgear R7000
-Netgear R8000
-Netgear WNR1000
-Netgear WNR2000
-QNAP TS251
-QNAP TS439 Pro
-Otros dispositivos QNAP NAS que ejecutan el software QTS
-TP-Link R600VPN
No obstante no se descarta la posibilidad de que otros routers puedan ser infectados
¿Cómo funciona?
════════════════
El malware consta de tres Etapas:════════════════
El bot Stage One
───────────────
Es el más liviano y simple, ya que su única función es infectar el dispositivo y obtener la persistencia de arranque.
Etapa 2
───────────────
Es admitir una arquitectura de complemento para los complementos del Estado Tres
Etapa 3
───────────────
Cisco dice que hasta ahora ha detectado complementos de Stage Three que pueden:
Hacer sniff de paquetes de red y tráfico de interceptación
Controlar la presencia de protocolos Modbus SCADA
Comunicarse con los servidores de C & C a través de la red Tor
Este malware puede ser utilizado de muchas formas:
-Como botner (Ya que se utilizan los routers para infectar a otros, es decir, este malware se propaga)
-Para espiar el tráfico de red
-Paralizar enrutadores, dejando inutilizable una parte de la infraestructura de internet
Cisco dice que este malware puede tener aun más módulos que no se han detectado.
¿Cómo desinfectarse?
════════════════
Como a dicho el fbi reiniciando el router la etapa 2 desaparece, pero por mala suerte la etapa 1 del malware no, es decir, podría volverse a poner en funcionamiento en cualquier momento════════════════
Lo más seguro es restablecer el router a configuración de fábrica, cambiar la contraseña por defecto e instalar el último firmware y rezar XD
El fbi ya se está encargando de solucionar este problema con lo cual no tardaran mucho en sacar parches.
Muchas gracias a todos, se que este post a sido tremendamente largo pero creo que esta bastante bien explicado