El malware convierte los enrutadores domésticos en servidores proxy para los piratas informáticos respaldados por el estado chino – Ars Technica
Los investigadores hicieron un descubrimiento importante el martes: firmware malicioso que puede enredar una amplia variedad de enrutadores residenciales y de pequeñas oficinas en una red que secretamente transmite tráfico a servidores de comando y control operados por piratas informáticos respaldados por el estado chino.
Un implante de firmware que se reveló un anote de Check Point Research, incluye una puerta trasera con todas las funciones que permite a los atacantes establecer comunicaciones y transferir archivos con dispositivos infectados, emitir comandos de forma remota y cargar, descargar y eliminar archivos. El implante se entregó en forma de imágenes de firmware para enrutadores TP-Link. Sin embargo, el código C ++ bien escrito se tomó la molestia de implementar su funcionalidad de una manera “agnóstica del firmware”, lo que significa que sería trivial modificarlo para que funcione en otros modelos de enrutadores.
Sin fines, solo medios
El objetivo principal del malware parece ser retransmitir el tráfico entre el objetivo infectado y los servidores de comando y control de los atacantes de una manera que ofusca el origen y los destinos de las comunicaciones. Después de un análisis más detallado, Check Point Research finalmente determinó que la infraestructura de monitoreo fue administrada por piratas informáticos afiliados a Mustang Panda, un actor de amenazas persistente avanzado que Avast y ESET las empresas de seguridad dicen que trabajan en nombre del gobierno chino.
“Aprendiendo de la historia, los implantes de enrutadores a menudo se instalan en dispositivos arbitrarios sin un interés especial, con la intención de crear una cadena de nodos entre las infecciones clave y el comando y control real”, escribieron los investigadores de Check Point. escritura más corta. “En otras palabras, infectar un enrutador doméstico no significa que el propietario de la casa sea un objetivo específico, sino que son solo un medio para un fin”.
Los investigadores descubrieron el implante mientras investigaban una serie de ataques dirigidos contra las unidades de asuntos exteriores europeas. El componente principal es la puerta trasera, denominada internamente Horse Shell. Las tres funciones principales de Horse Shell son:
- Un shell remoto para ejecutar comandos en un dispositivo infectado
- Transferencia de archivos para descargar archivos hacia y desde el dispositivo infectado
- Intercambio de datos entre dos dispositivos usando CALCETINES5protocolo para enviar conexiones TCP a una dirección IP arbitraria y proporcionar un medio para reenviar paquetes UDP.
La funcionalidad SOCKS5 parece ser el propósito final del implante. Al crear una cadena de dispositivos infectados que establecen conexiones encriptadas con solo los dos nodos más cercanos (uno en cada dirección), es difícil que cualquiera que tropiece con uno de ellos descubra el origen o el destino final o el verdadero propósito de la infección. Como escribieron los investigadores de Check Point:
El implante puede mediar en la comunicación entre los dos nodos. Al hacer esto, los atacantes pueden crear una cadena de nodos que reenvían el tráfico al servidor de comando y control. Al hacer esto, los atacantes pueden ocultar el último comando y control, porque cada nodo de la cadena solo tiene información del nodo anterior y siguiente, cada nodo es un dispositivo infectado. Solo un puñado de nodos conoce la identidad del último comando y control.
Mediante el uso de múltiples capas de nodos para la tunelización, los actores de amenazas pueden ofuscar el origen y el destino del tráfico, lo que dificulta que los defensores rastreen el tráfico hasta C2. Esto dificulta que los defensores detecten y reaccionen ante un ataque.
Además, la cadena de nodos infectados dificulta que los defensores interrumpan la comunicación entre el atacante y C2. Si un nodo de la cadena se ve comprometido o eliminado, un atacante aún puede mantener la conectividad con C2 enrutando el tráfico a través de otro nodo de la cadena.
¿Recuerdas VPNFilter, ZuroRat y Hiatus?
Enrutadores y otros llamados El uso de dispositivos de Internet de las cosas para cifrar servidores de control y tráfico de proxy es uno de los trucos más antiguos utilizados por los actores de amenazas. Los ejemplos más famosos de otras campañas de piratería en las que esta página tomó prestada del libro de jugadas es uno encontrado en 2018 que usó VPNFilter. El malware fue creado por APT28 respaldado por el Kremlin (también conocido como Fancy Bear) y se descubrió que infectó más de 500,000 dispositivos de red fabricados por Linksys, Mikrotik, Netgear, TP-Link y QNAP. VPNFilter proporcionó varias funciones, la principal habilitada por el módulo “socks5proxy”, que convirtió el dispositivo comprometido en un proxy de red privada virtual SOCKS5. Ejemplos similares incluyen un malware llamado ZuoRAT, que se descubrió el año pasado que infectó una gran cantidad de enrutadores fabricados por Cisco, Netgear, Asus y DrayTek. A principios de este año, los investigadores descubrieron Hiatus, una sofisticada campaña de piratería que cambiaba los enrutadores de gran ancho de banda a los servidores proxy DrayTek SOCKS del fabricante.
Los investigadores de Check Point aún no saben cómo se instala el implante malicioso en los dispositivos. La suposición más probable es que las infecciones son causadas por atacantes que explotan vulnerabilidades que ya se han reparado o que se apoderan de dispositivos con credenciales de administrador débiles o predeterminadas. Los usuarios más técnicos de TP-Link deben verificar el hash de su firmware actual para ver si coincide con algo de lo que escribió Check Point. Check Point no proporcionó a los usuarios formas más sencillas de detectar infecciones. Los representantes de TP-Link no respondieron a los mensajes en busca de comentarios para esta publicación.
Si bien la única imagen de firmware encontrada hasta ahora solo funciona en dispositivos TP-Link, no hay nada que impida que los actores de amenazas creen imágenes que funcionan en una gama mucho más amplia de hardware. Esta capacidad multiplataforma se debe a que los arquitectos de implantes integran múltiples bibliotecas de código abierto en su código. Las bibliotecas incluyen Telnet para comando remoto, libev para manejar eventos, libbase32 para codificar y decodificar datos binarios base32 y una lista de contenedores basada en lista inteligente TOR.
Se puede encontrar otra inspiración en proyectos que incluyen el servidor libev Shadowsocks y el túnel UDP udptun. Los encabezados HTTP utilizados se toman de repositorios de código abierto.
“Los componentes plantados se encontraron en imágenes de firmware TP-Link modificadas”, escribieron los investigadores. “Sin embargo, están escritos de manera independiente del firmware y no son específicos de ningún producto o proveedor específico. Como resultado, diferentes fabricantes pueden incluirlos en diferentes firmware”.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida