lunes, 4 de junio de 2018

VPNfilter, de nuevo mucho ruido y pocas nueces

Hace unos días salió un nuevo fallo de seguridad mediático. De nuevo, mucho ruido por la prensa, quienes hablaban del tema sin realmente aportar mucha información sobre cómo se realizó el ataque. Vamos a intentar aclarar el ataque y por qué es algo que ya se conocía y que no debió pillar por sorpresa.



El primer artículo que leí fue en elPaís, y la verdad es que terminé de leerlo y lo primero que dije fue "¿Qué han dicho?". Fui incapaz de entender el ataque. Hace mucho que tampoco expliquen qué es lo que ha pasado desde un punto de vista técnico, pero bueno, a nivel general era que "oye, que han infectado con un malware a un huevo de routers y el FBI ha dicho que hay que reiniciar nuestros routers, aunque sea uno de los que no sale en la lista de equipos afectados o con probabilidad de ser infectado, pero reinicia.".

Me puse a pensar y dije "A ver, si es un malware que se instale de forma persistente ¿Qué más da que reinicies? Es como instalar Libre Office y esperar que reiniciando el equipo desaparezca por arte de magia". La verdad es que lo dejé pasar, porque no tenía mucho tiempo libre, pero esto me sonaba a que tenía que ser algo muy parecido a lo que yo ya expuse con HiitA.

Al día siguiente, me leí este genial artículo de Una al día y ya pude enterarme un poco de qué iba el tema. Lo primero que hicieron fue definir la lista con los dispositivos infectados. Podéis ver los equipos infectados en ese post.


El ataque en sí se basa en 3 fases principalmente.

La primera fase es en la que el malware se instala de forma persistente, es decir, que aunque reinicies el equipo sigue infectado, esto se logra porque se trata de conectar con contraseñas por defecto o ataque de fuerza bruta y diccionario.

La segunda fase se descarga y ejecuta el payload que permite escribir comandos en el dispositivo.

Y la tercera fase es el sniffing de paquetes de red, con captura de credenciales ,etc.

Es decir, si analizamos el ataque y se quita que en la segunda fase en la que se podría modificar la versión del firmware, es igual que lo que expliqué con el proyecto HittA.

Además, lo de cambiar el firmware, ya os digo que también estoy trabajando en eso, es más, en el mismo post de HiitA os comentaba al final que el proyecto se iba a ampliar. Pues es eso en lo que estoy trabajando y que ya mismo veréis por el blog.

¿Conclusión? Un ataque interesante del que la comunidad ya sabía que se podría hacer-de ahí que se hayan sacado parches tan rápido- y un ataque y un fallo del que se ha generado mucho ruido y, como siempre, morbo.

Yo ya avisé meses atrás de la posibilidad de hacer esto, y elaboré un proyecto sobre lo mismo, por lo que no nos pilla tan de nuevas esto.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...