Investigadores de seguridad norteamericanos detectaron que actores cibernéticos extranjeros han comprometido, en todo el mundo, cientos de miles de enrutadores domésticos y de oficina y otros dispositivos en red. Dispositivos de almacenamiento conectado (NAS) también están incluidos en el ataque. Los actores usaron el malware VPNFilter para apuntar a los enrutadores de pequeñas oficinas u oficinas domésticas (SOHO). El Departamento de Seguridad Nacional (DHS) y el Buró Federal de Investigaciones (FBI) recomiendan que los propietarios de los enrutadores SOHO activen el ciclo (reinicie) los enrutadores SOHO y los dispositivos en red para interrumpir temporalmente el malware.
El DHS y el FBI alientan a los dueños de enrutadores SOHO a que informen información sobre actividades sospechosas o delictivas a su oficina de campo local del FBI o al Cyber Watch (CyWatch) 24/7 del FBI. Los contactos de la oficina local se pueden encontrar en www.fbi.gov/contact-us/field. Se puede contactar a CyWatch por teléfono al 855-292-3937 o por correo electrónico a CyWatch@fbi.gov. Cada informe presentado debe incluir tanta información como sea posible, específicamente la fecha, hora, ubicación, tipo de actividad, número de personas, el tipo de equipo utilizado para la actividad, el nombre de la empresa u organización que envía, y un punto designado de contacto.
- Usan routers hogareños como armas de ciberguerra
- Descubren vulnerabilidades en un «hub» para el «hogar inteligente» que habilita ataques remotos
Descripción
El tamaño y el alcance de esta infraestructura afectada por el malware de VPNFilter son importantes. El malware VPNFilter persistente vinculado a esta infraestructura se dirige a una variedad de enrutadores SOHO y dispositivos de almacenamiento conectados a la red. El vector de exploit inicial para este malware es actualmente desconocido.
El malware utiliza una funcionalidad modular en los enrutadores SOHO para recopilar inteligencia, explotar dispositivos LAN y bloquear el tráfico de red configurable por el actor. El malware puede inutilizar un dispositivo y tiene una funcionalidad destructiva en todos los enrutadores, dispositivos de almacenamiento conectados a la red y arquitecturas de la unidad de procesamiento central (CPU) que ejecutan Linux incorporado. El mecanismo de comando y control implementado por el malware utiliza una combinación de capa de sockets seguros (SSL) con certificados del lado del cliente para autenticación y protocolos TOR, lo que complica la detección y el análisis del tráfico de red.
Impacto
Las consecuencias negativas de la infección de malware VPNFilter incluyen:
- Pérdida temporal o permanente de información confidencial o de propiedad exclusiva.
- Interrupción de las operaciones regulares.
- Pérdidas financieras incurridas para restaurar sistemas y archivos, y
- Daño potencial a la reputación de una organización.
Solución
El DHS y el FBI recomiendan que todos los propietarios de enrutadores SOHO activen (reinicien) sus dispositivos para interrumpir temporalmente el malware.