NetWorld - Blog

Duas semanas atrás, pesquisadores da Cisco em parceria com a Symantec alertaram sobre o VPNFilter, malware que infectou 500 mil roteadores em pelo menos 54 países. Acreditava-se que o principal objetivo da praga era criar botnets para ataques coordenados ou capturar dados específicos, como senhas. Agora, os especialistas voltam à cena para reportar que o VPNFilter pode atingir ainda mais equipamentos e realizar mais ações do que se pensava.

VPNFilter

Em comunicado recente, a Talos, divisão de inteligência de segurança da Cisco, afirma que as primeiras análises indicavam que o VPNFilter estava orientado a realizar ações ofensivas, como derrubar ou invadir um servidor específico. Mas, agora, sabe-se que o malware também pode interceptar tráfego para, por exemplo, injetar código malicioso nas páginas exibidas no navegador.

Conforme explicado anteriormente, o malware age em três etapas. Na primeira, ele é instalado no roteador e fica ativo até o equipamento ser reiniciado. Na segunda, o malware é capaz de coletar dados e executar comandos. Na terceira, o VPNFilter acessa módulos que auxiliam as ações da segunda fase. Os pesquisadores agora sabem que, na última etapa, a praga pode interceptar dados dos dispositivos que estão na mesma rede do equipamento infectado. (Segurança: O malware destrutivo que infectou 500 mil roteadores e pode ter relação com a Rússia)

É um ataque do tipo man-in-the-middle: o tráfego interceptado recebe código malicioso que pode ser usado, por exemplo, para modificar o conteúdo de uma página sem que o usuário perceba. Note que o site não é afetado no servidor; a página carregada no navegador é que é modificada.

O malware consegue até analisar a URL para encontrar sinais de que informações sensíveis estão sendo trafegadas, como senhas e identidade do usuário. Na interceptação, o VPNFilter pode ainda tentar rebaixar uma conexão de HTTPS para HTTP e, assim, capturar dados em texto plano.

VPNFilter

Outro detalhe preocupante é o fato de o malware estar sendo usado para ações cuidadosamente selecionadas — como esvaziar a conta bancária de uma única pessoa — e não para interceptar a maior quantidade de dados possível, o que poderia facilitar o rastreamento e a mitigação da praga.

Equipamentos afetados

Os pesquisadores da Talos explicam que a lista de equipamentos vulneráveis aumentou consideravelmente. Entre eles estão roteadores e outros equipamentos de rede de marcas como Asus, D-Link e Huawei:

Asus:

• RT-AC66U (novo)
• RT-N10 (novo)
• RT-N10E (novo)
• RT-N10U (novo)
• RT-N56U (novo)
• RT-N66U (novo)

D-Link:

• DES-1210-08P (novo)
• DIR-300 (novo)
• DIR-300A (novo)
• DSR-250N (novo)
• DSR-500N (novo)
• DSR-1000 (novo)
• DSR-1000N (novo)

Huawei:

• HG8245 (novo)

Linksys:

• E1200
• E2500
• E3000 (novo)
• E3200 (novo)
• E4200 (novo)
• RV082 (novo)
• WRVS4400N

Mikrotik:

• CCR1009 (novo)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (novo)
• CRS112 (novo)
• CRS125 (novo)
• RB411 (novo)
• RB450 (novo)
• RB750 (novo)
• RB911 (novo)
• RB921 (novo)
• RB941 (novo)
• RB951 (novo)
• RB952 (novo)
• RB960 (novo)
• RB962 (novo)
• RB1100 (novo)
• RB1200 (novo)
• RB2011 (novo)
• RB3011 (novo)
• RB Groove (novo)
• RB Omnitik (novo)
• STX5 (novo)

Netgear:

• DG834 (novo)
• DGN1000 (novo)
• DGN2200
• DGN3500 (novo)
• FVS318N (novo)
• MBRN3000 (novo)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (novo)
• WNR4000 (novo)
• WNDR3700 (novo)
• WNDR4000 (novo)
• WNDR4300 (novo)
• WNDR4300-TN (novo)
• UTM50 (novo)

QNAP:

• TS251
• TS439 Pro
• Outros dispositivos QNAP NAS com QTS

TP-Link:

• R600VPN
• TL-WR741ND (novo)
• TL-WR841N (novo)

Ubiquiti:

• NSM2 (novo)
• PBE M5 (novo)

Upvel:

• Modelos desconhecidos (novo)

ZTE:

• ZXHN H108N (novo)

Não há maneira fácil de saber se um dispositivo está infectado, mas cuidados básicos ajudam na prevenção, como trocar a senha padrão do roteador e instalar a versão mais recente do firmware disponibilizado para o equipamento.