O malware Vpnfilter infectou um milhão de roteadores - eis o que você precisa saber

Uma descoberta recente de que um novo malware baseado em roteador, conhecido como VPNFilter, havia infectado mais de 500.000 roteadores, tornou-se notícia ainda pior. Em um relatório que deve ser lançado em 13 de junho, a Cisco afirma que mais de 200.000 roteadores adicionais foram infectados e que os recursos do VPNFilter são muito piores do que se pensava inicialmente. A Ars Technica informou sobre o que esperar da Cisco na quarta-feira.

O VPNFilter é um malware instalado em um roteador Wi-Fi. Ele já infectou quase um milhão de roteadores em 54 países, e a lista de dispositivos conhecidos por serem afetados pelo VPNFilter contém muitos modelos populares de consumidores. É importante observar que o VPNFilter não é uma exploração de roteador que um invasor pode encontrar e usar para obter acesso - é um software instalado em um roteador involuntariamente que é capaz de fazer coisas potencialmente terríveis.

O VPNFilter é um malware que de alguma forma é instalado no seu roteador, não uma vulnerabilidade que os invasores podem usar para obter acesso.

O primeiro ataque do VPNFilter consiste em usar um homem no meio do ataque ao tráfego de entrada. Em seguida, ele tenta redirecionar o tráfego criptografado HTTPS seguro para uma fonte que não pode aceitá-lo, o que faz com que esse tráfego volte ao tráfego HTTP normal e não criptografado. O software que faz isso, chamado ssler pelos pesquisadores, faz provisões especiais para sites que possuem medidas extras para impedir que isso aconteça, como o Twitter.com ou qualquer serviço do Google.

Depois que o tráfego não é criptografado, o VPNFilter pode monitorar todo o tráfego de entrada e saída que passa por um roteador infectado. Em vez de coletar todo o tráfego e redirecionar para um servidor remoto para ser analisado mais tarde, ele visa especificamente o tráfego conhecido por conter material confidencial, como senhas ou dados bancários. Os dados interceptados podem ser enviados de volta para um servidor controlado por hackers com vínculos conhecidos com o governo russo.

O VPNFilter também pode alterar o tráfego recebido para falsificar as respostas de um servidor. Isso ajuda a cobrir as faixas do malware e permite que ele funcione por mais tempo antes que você perceba que algo está errado. Um exemplo do que o VPNFilter é capaz de fazer com o tráfego de entrada dado à ARS Technica por Craig Williams, líder sênior de tecnologia e gerente de alcance global da Talos, diz:

Mas parece que evoluiu completamente além disso, e agora não apenas permite que eles façam isso, mas também pode manipular tudo o que passa pelo dispositivo comprometido. Eles podem modificar o saldo da sua conta bancária para que pareça normal e, ao mesmo tempo, sugam dinheiro e, potencialmente, chaves PGP e coisas assim. Eles podem manipular tudo o que entra e sai do dispositivo.

É difícil ou impossível (dependendo do seu conjunto de habilidades e do modelo do roteador) saber se você está infectado. Os pesquisadores sugerem que qualquer pessoa que use um roteador que seja suscetível ao VPNFilter assume que está infectada e toma as medidas necessárias para recuperar o controle do tráfego de rede.

Roteadores conhecidos por serem vulneráveis

Esta longa lista contém os roteadores de consumidor conhecidos por serem suscetíveis ao VPNFilter. Se o seu modelo aparecer nesta lista, é recomendável seguir os procedimentos na próxima seção deste artigo. Os dispositivos na lista marcados como "novos" são roteadores que recentemente foram considerados vulneráveis.

Dispositivos Asus:

• RT-AC66U (novo)
• RT-N10 (novo)
• RT-N10E (novo)
• RT-N10U (novo)
• RT-N56U (novo)

Dispositivos D-Link:

• DES-1210-08P (novo)
• DIR-300 (novo)
• DIR-300A (novo)
• DSR-250N (novo)
• DSR-500N (novo)
• DSR-1000 (novo)
• DSR-1000N (novo)

Dispositivos Huawei:

• HG8245 (novo)

Dispositivos Linksys:

• E1200
• E2500
• E3000 (novo)
• E3200 (novo)
• E4200 (novo)
• RV082 (novo)
• WRVS4400N

Dispositivos Mikrotik:

• CCR1009 (novo)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (novo)
• CRS112 (novo)
• CRS125 (novo)
• RB411 (novo)
• RB450 (novo)
• RB750 (novo)
• RB911 (novo)
• RB921 (novo)
• RB941 (novo)
• RB951 (novo)
• RB952 (novo)
• RB960 (novo)
• RB962 (novo)
• RB1100 (novo)
• RB1200 (novo)
• RB2011 (novo)
• RB3011 (novo)
• RB Groove (novo)
• RB Omnitik (novo)
• STX5 (novo)

Dispositivos Netgear:

• DG834 (novo)
• DGN1000 (novo)
• DGN2200
• DGN3500 (novo)
• FVS318N (novo)
• MBRN3000 (novo)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (novo)
• WNR4000 (novo)
• WNDR3700 (novo)
• WNDR4000 (novo)
• WNDR4300 (novo)
• WNDR4300-TN (novo)
• UTM50 (novo)

Dispositivos QNAP:

• TS251
• TS439 Pro
• Outros dispositivos NAS da QNAP executando o software QTS

Dispositivos TP-Link:

• R600VPN
• TL-WR741ND (novo)
• TL-WR841N (novo)

Dispositivos Ubiquiti:

• NSM2 (novo)
• PBE M5 (novo)

Dispositivos ZTE:

• ZXHN H108N (novo)

O que você precisa fazer

Agora, assim que puder, você deve reiniciar o seu roteador. Para fazer isso, simplesmente desconecte-o da fonte de alimentação por 30 segundos e conecte-o novamente. Muitos modelos de roteador descarregam os aplicativos instalados quando estão no ciclo de energia.

O próximo passo é redefinir o roteador de fábrica. Você encontrará informações sobre como fazer isso no manual que acompanha a caixa ou no site do fabricante. Isso geralmente envolve a inserção de um pino em um orifício embutido para pressionar um microinterruptor. Quando o roteador volta a funcionar, você precisa garantir que ele esteja na versão mais recente do firmware. Novamente, consulte a documentação que acompanha o seu roteador para obter detalhes sobre como atualizar.

Em seguida, faça uma auditoria de segurança rápida de como você está usando seu roteador.

• Nunca use o nome de usuário e a senha padrão para administrá-lo. Todos os roteadores do mesmo modelo usarão esse nome e senha padrão, facilitando a alteração de configurações ou a instalação de malware.
• Nunca exponha nenhum dispositivo interno à Internet sem um firewall forte instalado. Isso inclui coisas como servidores FTP, servidores NAS, servidores Plex ou qualquer dispositivo inteligente. Se você deve expor qualquer dispositivo conectado fora da sua rede interna, provavelmente poderá usar o software de filtragem e encaminhamento de portas. Caso contrário, invista em um forte firewall de hardware ou software.
• Nunca deixe a administração remota ativada. Pode ser conveniente se você estiver frequentemente longe da sua rede, mas é um ponto de ataque em potencial que todo hacker sabe procurar.
• Mantenha-se sempre atualizado. Isso significa verificar regularmente se há novo firmware e, mais importante, certifique-se de instalá-lo, se estiver disponível.

Por fim, se você não conseguir atualizar o firmware para impedir a instalação do VPNFilter (o site do fabricante terá detalhes), basta comprar um novo. Sei que gastar dinheiro para substituir um roteador perfeitamente bom e funcional é um pouco extremo, mas você não terá idéia se o seu roteador está infectado, a menos que você seja uma pessoa que não precisa ler esse tipo de dicas.

Adoramos os novos sistemas de roteadores mesh que podem ser atualizados automaticamente sempre que um novo firmware estiver disponível, como o Google Wifi, porque coisas como o VPNFilter podem acontecer a qualquer momento e com qualquer pessoa. Vale a pena dar uma olhada se você estiver no mercado para um novo roteador.