Inicialmente en Cisco creían que el objetivo primario de VPNFilter era infectar los routers, switches y NAS de hogares y pequeñas oficinas para montar una enorme botnet que le permitiera lanzar ataques masivos coordinados a objetivos específicos, un malware dirigido a tu router y no a tu PC. Pero, resulta que esto no era así, y ahora creen que VPNFilter también busca atacar a los dueños de los dispositivos.
Craig Williams, uno de los líderes de Talos, la división de inteligencia de ciber-seguridad de Cisco, explica:
Al principio, cuando vimos esto pensamos que estaba para ser usado principalmente por sus capacidades ofensivas, como en ataques de enrutamiento en Internet. Pero, parece que los atacantes han evolucionado aún más allá y ahora no solo les permite lanzar esos ataques, sino que pueden manipular todo lo que pasa por el dispositivo comprometido. Pueden modificar el balance de tu cuenta bancaria para que luzca normal mientras que al mismo tiempo están desviando dinero y potencialmente claves PGP y cosas como similares. Puedes manipular todo lo que entra y sale del dispositivo.
VPNFilter es un modulo que efectúa ataques man-in-the-middle, es decir, puedes interceptar el tráfico que pasa a través de un dispositivo infectado para inyectar su código malicioso. Ese código puede ser creado específicamente para modificar el contenido que te entrega un sitio web cuando lo visitas de forma que ni te enteres.
Además de eso también puede robar datos sensibles e intenta bajar tu conexión HTTPS a una HTTP en texto plano.
VPNFilter permite a los atacantes manipular absolutamente todo lo que entra y sale de tu router
El nuevo reporte de Talos también explica que los ataques son extremadamente específicos, que "no están buscando recolectar tanto tráfico como sea posible, sino que están tras ciertas cosas pequeñas como credenciales y contraseñas". Aún están investigando que están usando y en quien.
Aunque el FBI decomisó un servidor control y un centro de comando, la botnet permanece activa. También recomendaron a todos los usuarios de routers, switches y NAS que reiniciaran los dispositivos para mantenerse seguros. O, una reinicio de fábrica con actualización de firmaware si quieres tomar todas las precauciones posibles.
La lista de dispositivos afectados también crece
Los dispositivos afectados son muchísimos más de los que se reportó inicialmente. Múltiples modelos de diferentes marcas conocidas, en las que probablemente se encuentre el tuyo, si quieres revisar, estos son todos hasta ahora:
Asus:
RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U
D-Link:
DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N
Huawei:
HG8245
Linksys:
E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N
Mikrotik:
CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Netgear:
DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50
QNAP:
TS251
TS439 Pro
Otros modelos de QNAP ejecutando software QTS
TP-Link:
R600VPN
TL-WR741ND
TL-WR841N
Ubiquiti:
NSM2
PBE M5
Upvel:
Modelos desconocidos
ZTE:
ZXHN H108N