04 Jun Como remover VPNFilter
Um novo malware, intitulado de VPNFilter, foi identificado pela Cisco. As estimativas dos investigadores indicam que este malware infectou pelo menos 500.000 dispositivos, em pelo menos 54 países. Os dispositivos afectados incluem routers das marcas Linksys, MikroTik, NETGEAR e TP-Link, ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTE e dispositivos NAS da QNAP. Este malware foi criado por um grupo de ciberespionagem russo que é conhecido por vários nomes, incluindo “Sofacy Group”, “apt28,” “sandworm,” “x-agent,” “pawn storm,” “fancy bear” e “sednit”.
O VPNFilter tem três fases. A fase 1 é a primeira a ser instalada, e mantém-se mesmo após o dispositivo ter sido reiniciado. Isto faz com que o VPNFilter seja diferente de todos os malwares que afectam dispositivos da Internet das Coisas pois, normalmente, o malware não sobrevive ao reinício do dispositivo. O propósito da fase 1 é obter uma presença permanente no dispositivo afectado e permitir a implantação da fase 2. Após a implantação da fase 1, é feito o download da fase 2, que não sobrevive se o dispositivo for reiniciado. A fase 2 permite a recolha de ficheiros, a execução de comandos, o roubo de dados e a gestão de dispositivos. Esta fase tem também uma função de auto-destruição que, se activada, pode tornar o dispositivo afectado inutilizável. Por último, a fase 3, que também não sobrevive ao reinício do dispositivo, consiste num conjunto de plugins que acrescentam novas funcionalidades à fase 2. Um dos plugins descobertos permite recolher o tráfego que passa pelo dispositivo, incluindo o roubo de palavras-passe de sites e a monitorização de protocolos Modbus SCADA, e outro permite que a fase 2 comunique através do Tor. Existe ainda um plugin que injeta conteúdo malicioso no tráfego através de um ataque man-in-the-middle e consegue fazer o downgrade de HTTPS para HTTP. A Cisco afirma com “alta confiança” que existem muitos outros plugins, só que ainda não foram descobertos.
Segue-se uma lista dos dispositivos afectados:
- ASUS RT-AC66U (novo)
- ASUS RT-N10 (novo)
- ASUS RT-N10E (novo)
- ASUS RT-N10U (novo)
- ASUS RT-N56U (novo)
- ASUS RT-N66U (novo)
- D-LINK DES-1210-08P (novo)
- D-LINK DIR-300 (novo)
- D-LINK DIR-300A (novo)
- D-LINK DSR-250N (novo)
- D-LINK DSR-500N (novo)
- D-LINK DSR-1000 (novo)
- D-LINK DSR-1000N (novo)
- HUAWEI HG8245 (novo)
- LINKSYS E1200
- LINKSYS E2500
- LINKSYS E3000 (novo)
- LINKSYS E3200 (novo)
- LINKSYS E4200 (novo)
- LINKSYS RV082 (novo)
- LINKSYS WRVS4400N
- MIKROTIK:
- MIKROTIK CCR1009 (novo)
- MIKROTIK CCR1016
- MIKROTIK CCR1036
- MIKROTIK CCR1072
- MIKROTIK CRS109 (novo)
- MIKROTIK CRS112 (novo)
- MIKROTIK CRS125 (novo)
- MIKROTIK RB411 (novo)
- MIKROTIK RB450 (novo)
- MIKROTIK RB750 (novo)
- MIKROTIK RB911 (novo)
- MIKROTIK RB921 (novo)
- MIKROTIK RB941 (novo)
- MIKROTIK RB951 (novo)
- MIKROTIK RB952 (novo)
- MIKROTIK RB960 (novo)
- MIKROTIK RB962 (novo)
- MIKROTIK RB1100 (novo)
- MIKROTIK RB1200 (novo)
- MIKROTIK RB2011 (novo)
- MIKROTIK RB3011 (novo)
- MIKROTIK RB Groove (novo)
- MIKROTIK RB Omnitik (novo)
- MIKROTIK STX5 (novo)
- NETGEAR DG834 (novo)
- NETGEAR DGN1000 (novo)
- NETGEAR DGN2200
- NETGEAR DGN3500 (novo)
- NETGEAR FVS318N (novo)
- NETGEAR MBRN3000 (novo)
- NETGEAR R6400
- NETGEAR R7000
- NETGEAR R8000
- NETGEAR WNR1000
- NETGEAR WNR2000
- NETGEAR WNR2200 (novo)
- NETGEAR WNR4000 (novo)
- NETGEAR WNDR3700 (novo)
- NETGEAR WNDR4000 (novo)
- NETGEAR WNDR4300 (novo)
- NETGEAR WNDR4300-TN (novo)
- NETGEAR UTM50 (novo)
- QNAP TS251
- QNAP TS439 Pro
- Outros dispositivos NAS da QNAP com software QTS
- TP-LINK R600VPN
- TP-LINK TL-WR741ND (novo)
- TP-LINK TL-WR841N (novo)
- UBIQUITI NSM2 (novo)
- UBIQUITI PBE M5 (novo)
- Modelos desconhecidos da UPVEL(novo)
- ZTE ZXHN H108N (novo)
Até à data, não se sabe definitivamente como os dispositivos estão a ser infectados, no entanto todos os modelos afectados possuem vulnerabilidades que são bem conhecidas e públicas.
Apesar dos dispositivos acima referidos terem sido os únicos que foram identificados até à data (entretanto já foram identificados novos dispositivos), a Cisco afirma com “alta confiança” que a lista está incompleta e que outros dispositivos podem ser afectados. Como não se conhecem todos os dispositivos afectados, o FBI e o Departamento de Segurança Interna dos Estados Unidos recomendam que todos os routers, independentemente de estarem ou não nesta lista, sejam reiniciados para interromper temporariamente o malware. O malware será apenas interrompido temporariamente pois o reinício do router irá interromper apenas as fases 2 e 3. Como a fase 1 sobrevive ao reinício do router, e é a fase responsável pela implantação da fase 2, a fase 2 poderá ser re-implantada. Isto significa que reiniciar o router pode não ser suficiente para remover o VPNFilter.
Se o reinício do router não remove totalmente o VPNFilter, para quê reiniciar?
O FBI apreendeu um domínio que fazia parte da infraestrutura de comando e controlo do VPNFilter. Com este domínio na sua posse, quando a fase 1 se tentar ligar ao servidor de comando e controlo para reinfectar o dispositivo, irá ligar-se a um servidor do FBI, que irá registar o endereço de IP dos dispositivos infectados. Uma organização sem fins lucrativos parceira do FBI, a Shadowserver Foundation, irá divulgar os endereços de IP a quem pode ajudar a mitigar o VPNFilter, incluindo equipas de resposta a incidentes de segurança informática (CERTs) e fornecedores de serviço de Internet (ISPs). Os ISPs poderão depois tratar dos routers infectados e, no caso dos clientes que utilizam um router próprio, poderão informá-los de que o seu router está infectado.
Como remover VPNFilter totalmente
A fase 1 do VPNFilter irá manter-se mesmo após o reinício do router. Para remover esta fase, é necessário repor as definições de fábrica do dispositivo. Se possui um dos dispositivos afectados, é recomendável que os seguintes passos para remover o VPNFilter totalmente:
1. Repor as definições de fábrica. Note, no entanto, que depois de repor as definições de fábrica do router, terá que o voltar a configurar.
2. Actualizar o dispositivo para o firmware mais recente, que deverá corrigir as falhas de que o VPNFilter se aproveita para se conseguir instalar.
3. Alterar a palavra-passe pré-definida.
4. Desactivar a administração remota.