Los investigadores han descubierto un firmware malicioso que explota una amplia gama de enrutadores residenciales y de pequeñas oficinas, creando efectivamente una red encubierta utilizada para retransmitir el tráfico a los servidores de comando y control operados por piratas informáticos patrocinados por el estado chino. El descubrimiento, detallado por Check Point Research , expone una puerta trasera integral dentro del firmware, que otorga a los atacantes la capacidad de establecer canales de comunicación, realizar transferencias de archivos, emitir comandos remotos y manipular archivos.
Aunque inicialmente apuntaba a los enrutadores TP-Link, la naturaleza adaptable del código C ++ meticulosamente diseñado permite modificaciones fáciles para adaptarse a otros modelos de enrutadores.
Retransmisión de tráfico y ocultación de orígenes
El propósito principal del malware es facilitar la transmisión de datos entre los objetivos comprometidos y los servidores de comando y control, al mismo tiempo que oscurece los verdaderos orígenes y destinos de la comunicación. Una investigación adicional realizada por Check Point Research reveló que la infraestructura de control estaba vinculada a Mustang Panda, un actor de amenazas persistente avanzado conocido por operar en nombre del gobierno chino, según lo confirmado por las empresas de seguridad Avast y ESET.
Los investigadores destacaron que los implantes de enrutadores generalmente se implementan en dispositivos aleatorios, en lugar de estar dirigidos específicamente a los propietarios de viviendas, con la intención de establecer una cadena de nodos entre las infecciones principales y los centros de comando y control reales. De esta manera, infectar un enrutador doméstico sirve como un medio para un fin, en lugar de un ataque directo al propietario de la casa.
La funcionalidad del implante.
Los investigadores identificaron la presencia de un implante, conocido internamente como Horse Shell, mientras investigaban una serie de ataques dirigidos contra entidades europeas de asuntos exteriores. Horse Shell abarca tres funciones principales: un shell remoto para ejecutar comandos en dispositivos infectados, un mecanismo de transferencia de archivos para cargar y descargar archivos y la utilización del protocolo SOCKS5 para intercambiar datos entre dispositivos y reenviar paquetes UDP.
La funcionalidad SOCKS5 parece ser el objetivo final del implante, que permite la creación de una cadena encriptada de dispositivos infectados que establecen conexiones solo con los nodos vecinos más cercanos, lo que dificulta que los extraños puedan discernir el verdadero origen o propósito de la infección.
Métodos de instalación
El uso de enrutadores y dispositivos de Internet de las cosas (IoT) para enmascarar servidores de control y tráfico de proxy clandestino es una táctica bien establecida empleada por los actores de amenazas. Los ejemplos notables incluyen el malware VPNFilter, atribuido al APT28 respaldado por el Kremlin (también conocido como Fancy Bear), que infectó a más de 500,000 dispositivos de red de varios fabricantes.
De manera similar, ZuoRAT y Hiatus se dirigieron a los enrutadores fabricados por Cisco, Netgear, Asus y DrayTek, transformándolos en proxies SOCKS. Los investigadores reconocen que el método de instalación del implante sigue siendo incierto, y especulan que los atacantes pueden explotar vulnerabilidades sin parches o explotar credenciales administrativas débiles o predeterminadas. Se recomienda a los usuarios de TP-Link con experiencia técnica que verifiquen el hash criptográfico de su firmware actual con los proporcionados por Check Point Research.
Capacidades multiplataforma
Si bien la imagen de firmware descubierta actualmente se dirige a los dispositivos TP-Link, no hay nada que impida que los actores de amenazas creen imágenes compatibles con una gama más amplia de hardware. Esta versatilidad se deriva de la incorporación de múltiples bibliotecas de código abierto en el código, incluido Telnet para acceso remoto de shell, libev para manejo de eventos, libbase32 para codificación y decodificación de datos binarios y varios contenedores basados en la lista inteligente TOR.
Los arquitectos de implantes también se inspiraron en proyectos como Shadowsocks-libev y udptun UDP tunnel, mientras utilizaban encabezados HTTP de repositorios de código abierto.
