# VPNFilter > Tipo: **malware modular** · S1010 · [MITRE ATT&CK](https://attack.mitre.org/software/S1010) ## Descrição **VPNFilter** é uma plataforma de malware modular multi-estágio desenvolvida pelo [[g0034-sandworm|Sandworm Team]] (GRU) para comprometer roteadores domésticos e dispositivos de armazenamento em rede (NAS). No pico de sua operação em 2018, o VPNFilter havia infectado **mais de 500.000 dispositivos em 54 países**, tornando-se uma das maiores botnets de roteadores já documentadas. O malware opera em **três estágios distintos**, com a maioria das funcionalidades destrutivas nos módulos de terceiro estágio. O packet sniffer (`ps`) do VPNFilter monitora tráfego passante, incluindo credenciais de sites em texto claro e protocolos Modbus SCADA, revelando interesse em alvos de infraestrutura industrial conectados via roteadores comprometidos. O VPNFilter foi substituído pelo [[s0687-cyclops-blink|Cyclops Blink]] a partir de 2019, após a disrupção pelo FBI/DOJ em maio de 2018. **Plataformas:** Network Devices (roteadores, NAS), Linux ## Arquitetura Multi-Estágio ```mermaid graph TB A["🔓 Estágio 1<br/>Persistência no reboot<br/>Download Estágio 2"] --> B["🧠 Estágio 2<br/>Agente principal<br/>Coleta + Auto-destruct"] B --> C1["📦 Plugin: ps<br/>Packet sniffer<br/>Credenciais + Modbus"] B --> C2["📦 Plugin: tor<br/>Anonimizador Tor<br/>Tunelamento C2"] B --> C3["📦 Plugin: kill<br/>Brick command<br/>Corrompem firmware"] A -.->|"persiste sem estágio 2"| D["📡 C2 via<br/>Photobucket EXIF<br/>→ IP dinâmico"] classDef s1 fill:#1a5276,color:#fff,stroke:#154360 classDef s2 fill:#7f8c8d,color:#fff,stroke:#626567 classDef plugin fill:#e67e22,color:#fff,stroke:#d35400 classDef c2 fill:#8e44ad,color:#fff,stroke:#6c3483 class A s1 class B s2 class C1,C2,C3 plugin class D c2 ``` > [!danger] Mecanismo de Kill - Brick em Massa > O módulo `kill` do VPNFilter pode ser acionado remotamente para sobrescrever o firmware do roteador, tornando o dispositivo inoperante (bricked) permanentemente. Se usado coordenadamente contra 500.000 dispositivos, causaria apagão de internet massivo - especialmente na Ucrânia, que era o alvo prioritário. > [!info] C2 via Metadados EXIF - Técnica Inovadora > O VPNFilter usava imagens no Photobucket como canal C2 inicial: o malware baixava imagens e extraía coordenadas GPS dos metadados EXIF para calcular o IP do servidor de comando. Técnica de esteganografia para evadir detecção de tráfego C2. ## Estágios Detalhados | Estágio | Função | Persistência | |---------|--------|-------------| | 1 | Download do agente principal; persiste reinicializações via NVRAM | Sim (sobrevive reboot) | | 2 | Agente principal: coleta de arquivos, execução de comandos, módulos de exfiltração e auto-destruct | Não (perdido após reboot) | | 3 | Plugins: packet sniffer (Modbus/credenciais), Tor proxy, kill/brick | Não | ## Dispositivos Afetados Principais vendors comprometidos pelo VPNFilter: - **Linksys** - modelos E1200, E2500, WRVS4400N - **MikroTik** - Cloud Core Routers versões 1016, 1036, 1072 - **Netgear** - DGN2200, R6400, R7000, R8000, WNR1000, WNR2000 - **TP-Link** - R600VPN - **QNAP** - TS251, TS439 Pro (NAS) ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1561-001-disk-content-wipe\|T1561.001]] | Disk Content Wipe - firmware brick via módulo kill | | [[t1040-network-sniffing\|T1040]] | Network Sniffing - captura credenciais e tráfego Modbus | | [[t1078-valid-accounts\|T1078]] | Valid Accounts - uso de credenciais padrão de roteadores | | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application - exploração de vulnerabilidades em roteadores | | [[t1542-003-pre-os-boot-bootkit\|T1542.003]] | Pre-OS Boot: Bootkit - persistência de estágio 1 via NVRAM | ## Linha do Tempo | Data | Evento | |------|--------| | 2016 | Primeiras infecções detectadas retroativamente | | 2018-03 | Aumento massivo de infecções na Ucrânia detectado | | 2018-05-23 | Cisco Talos pública descoberta; ~500.000 dispositivos infectados | | 2018-05-25 | FBI/DOJ obtém warrant e assume domínio ToKnowAll.com (C2 de fallback) | | 2018-06 | CISA/NSA/FBI recomendam factory reset de roteadores afetados mundialmente | | 2019+ | [[s0687-cyclops-blink\|Cyclops Blink]] substitui VPNFilter como plataforma successor | ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455) - atribuição DOJ/FBI e Cisco Talos ## Malware Relacionado - [[s0687-cyclops-blink|Cyclops Blink]] - successor do VPNFilter (2019+), mais avançado - [[industroyer2|Industroyer2]] - outro malware Sandworm, foco ICS (2022) - [[s0604-industroyer|Industroyer]] - malware ICS predecessor do Sandworm (2016) ## Relevância para o Brasil e LATAM > [!warning] 500.000 Dispositivos em 54 Países - LATAM Incluído > O VPNFilter infectou dispositivos em **54 países**, com concentração inicial na Ucrânia mas espalhamento global. Os dispositivos mais afetados (**Linksys, Netgear, TP-Link, MikroTik**) são amplamente usados em pequenas e médias empresas e residências no **Brasil, Argentina, México e Colômbia**. Risco residual: embora o VPNFilter tenha sido parcialmente desarticulado em 2018, dispositivos não atualizados ou resetados podem ainda estar comprometidos com estágio 1 (que sobrevive reboots). O sucessor [[s0687-cyclops-blink|Cyclops Blink]] usa técnicas similares. Recomendação: factory reset + atualização de firmware de roteadores Linksys/Netgear/TP-Link/MikroTik; desabilitar administração remota; trocar credenciais padrão. ## Referências - [Cisco Talos - New VPNFilter malware targets at least 500K networking devices](https://blog.talosintelligence.com/vpnfilter/) - [CISA - New Sandworm Malware Cyclops Blink Replaces VPNFilter](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-054a) - [Kaspersky Securelist - VPNFilter EXIF to C2 mechanism analysed](https://securelist.com/vpnfilter-exif-to-c2-mechanism-analysed/85721/) - [MITRE ATT&CK - S1010](https://attack.mitre.org/software/S1010)