O FBI, junto com o Departamento de Justiça dos Estados Unidos, informou nesta quarta-feira (23) que conseguiu deter parte da infraestrutura de comando do VPN Filter, um malware que é produto de uma avançada ameaça patrocinada por um Estado e que infectou pelo menos 500 mil roteadores de 54 países.

O órgão norte-americano atribuiu a autoria do malware ao APT 28, também conhecido como Fancy Bear, o mesmo grupo hacker russo responsável por se infiltrar no sistema de e-mails do partido Democrata dos Estados Unidos, durante as eleições de 2016.

Criadores de botnet que derrubou a internet se declaram culpados
Roteadores no Brasil estão sendo usados para ataques contra serviços online

Com a derrubada do serviço, o IP usado para controle da operação agora será direcionado para uma página do FBI, comunicando que o serviço foi desativado.

Entendendo o VPN Filter

Os primeiros relatos da praga foram divulgados pela divisão de segurança da empresa Cisco Talos. A companhia reportou na quarta-feira (23) que o VPN Filter era um malware sofisticado que não tinha apenas função de spyware. Em seu segundo estágio, ele poderia fazer a maioria dos equipamentos se “autodestruir”, tornando esses roteadores inúteis.

“Os dispositivos infectados pelo VPNFilter são das marcas Linksys, MikroTik, Netgear e TP-Link, que funcionam em ambientes domésticos ou de pequenas empresas, além de dispositivos QNAP de dispositivos NAS (aparelhos de armazenamento ligados à rede)”, informou a Talos em um comunicado.

Especificamente, são estes os modelos:


Linksys E1200
Linksys E2500
Linksys WRVS4400N
Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
Other QNAP NAS devices running QTS software
TP-Link R600VPN

Se no estágio 2 o malware já faz um estrago, no estágio 3 as coisas não ficam melhores. Nessa situação, o atacante consegue monitorar o tráfego de internet e interceptar credenciais de sites, além de poder estabelecer comunicação com uma rede via Tor. A Talos suspeita que haja outros plugins disponíveis do VPN Filter que os pesquisadores ainda não descobriram.

Outra capacidade que o malware disponibiliza para os hackers é a de usar a rede como “hop points” para esconder a origem em possíveis ataques.

“Ameaças avançadas, incluindo as feitas por Estados, tentarão tornar o mais difícil possível o processo de atribuição do responsável, a menos que seja de interesse tornar isso público”, informou a Talos. “Para esse fim, esses perpetradores usam múltiplas técnicas, incluindo a cooptação de infraestrutura de alguém para poder realizar crimes.”

A complexidade para se defender do VPN Filter

É difícil se defender do VPN Filter e de outras ameaças que visam roteadores, pois, na maioria das vezes, esses aparelhos não contam com capacidades antimalware. Para piorar a situação, o processo para atualização de firmware dos roteadores não costuma ser tão simples quanto atualizar um aplicativo para smartphone, pelo menos para o usuário médio.

A Talos sugere algumas ações para quem tem aparelhos das marcas citadas acima:

Usuários de roteadores e/ou dispositivos NAS (aparelhos de armazenamento ligados à rede) devem resetá-los para o padrão de fábrica e reiniciá-los para remover os estágios 2 e 3 do malware.

Provedores de internet que fornecem esses roteadores devem reiniciar esses aparelhos.

Se você tem um dos dispositivos atingidos, é importante que você verifique com a fabricante se tem algum tipo de correção. Se tiver, instale-a imediatamente.

Provedores de internet devem contatar seus clientes para assegurar que os dispositivos deles estão corrigidos e com a versão mais recente de software e firmware.

Dado o potencial destrutivo, nós recomendamos cuidado para realizar essas ações, independentemente de seu dispositivo estar entre os infectados ou não.

[Cisco Talos e Symantec]