A finales de mayo hablamos sobre la amenaza que suponía VPN Filter. Un _malware_ que ataca a los dispositivos para convertirlos en bots, y así controlar de forma remota para lanzar ataques masivos coordinados. En ese momento eran 14 los modelos afectados.
Parecía entonces que la amenaza estaba restringida a un número concreto de routers, algo que no evitó que desde el FBI se recomendará tomar medidas con todos los modelos existentes en el mercado. Además, las páginas seguras parecían estar a salvo... Y puede que algo más supieran por aquel entonces, pues ahora nos enteramos que el problema es más extenso de lo que creíamos en un principio.
No se libran ni las conexiones seguras
Los _hackers_ rusos podrían haber llegado a infectar hasta 500.000 routers antes que el FBI tomara medidas. Motivos más que suficientes para pensar en que el _malware_ podría haber infectado en ese lapso de tiempo a un indeterminado número de routers mediante ataques _man-in-the-middle_.
El _malware_ se habría encargado de inyectar código malicioso para lograr extraer información de carácter sensible de los usuarios afectados mediante el análisis del tráfico web. El proceso se llevaría a cabo mediante el análisis de las URL de las páginas y la información que se transmite, la cual sería enviada a servidores que los _hackers_ aún controlan.
El problema se agrava porque el _malware_ sería capaz de vulnerar las conexiones que consideramos seguras, esto es, las HTTPS. En este sentido no se librarían ni siquiera comunicaciones que se envían a sitios cómo Google, Facebook, Twitter o YouTube, los cuales hacen uso de funcionalidades de seguridad extra.
"Inicialmente, cuando vimos esto, pensamos que estaba hecho principalmente para capacidades ofensivas como ataques de enrutamiento en Internet"
Todos los datos que por lo tanto, circulan cuando visitamos una web supuestamente segura, pueden estar al descubierto. Pensemos en páginas web de entidades bancarias, médicas... un abanico enorme y con muchos puntos débiles que pueden ser atacados.
Y si esto no es suficiente, además se ha descubierto que el número de modelos afectados por el _malware_ es mayor del que se tenía pensado en un principio. Por marcas, el listado completo de los routers amenazados a estas alturas es este:
- Modelos afectados de ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
- Modelos afectados de D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
- Modelos afectados de Huawei: HG8245
- Modelos afectados de Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
- Modelos afectados de Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
- Modelos afectados de Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
- Modelos afectados de QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
- Modelos afectados de TP-Link: R600VPN, TL-WR741ND, TL-WR841N
- Modelos afectados de Ubiquiti: NSM2, PBE M5
- Modelos afectados de Upvel: modelos desconocidos
- Modelos afectados de ZTE: ZXHN H108N
Fuente | Ars Technica
En Xataka | El malware VPNFilter es el motivo por el que el FBI recomienda resetear todos nuestros routers
Ver 1 comentarios