Los investigadores dieron a conocer el martes un importante descubrimiento: un firmware malicioso que puede introducir una amplia gama de enrutadores residenciales y de pequeñas oficinas en una red que retransmite sigilosamente el tráfico a servidores de comando y control mantenidos por piratas informáticos patrocinados por el estado chino.
Un implante de firmware, revelado en un redactar de Check Point Research, contiene una puerta trasera con todas las funciones que permite a los atacantes establecer comunicaciones y transferencias de archivos con dispositivos infectados, emitir comandos de forma remota y cargar, descargar y eliminar archivos. El implante llegó en forma de imágenes de firmware para enrutadores TP-Link. Sin embargo, el código C++ bien escrito se esforzó por implementar su funcionalidad de una manera “agnóstica del firmware”, lo que significa que sería trivial modificarlo para que se ejecutara en otros modelos de enrutadores.
No los fines, solo los medios
El objetivo principal del malware parece transmitir el tráfico entre un objetivo infectado y los servidores de comando y control de los atacantes de una manera que oscurece los orígenes y destinos de la comunicación. Con un análisis más detallado, Check Point Research finalmente descubrió que la infraestructura de control era operada por piratas informáticos vinculados a Mustang Panda, un actor de amenazas persistente avanzado que tanto el Avast
“Aprendiendo de la historia, los implantes de enrutadores a menudo se instalan en dispositivos arbitrarios sin ningún interés particular, con el objetivo de crear una cadena de nodos entre las infecciones principales y el comando y control real”, escribieron los investigadores de Check Point en un artículo. redacción más breve. “En otras palabras, infectar un enrutador doméstico no significa que el propietario de la casa fuera un objetivo específico, sino que son solo un medio para lograr un objetivo”.
Los investigadores descubrieron el implante mientras investigaban una serie de ataques dirigidos contra entidades europeas de asuntos exteriores. El componente principal es una puerta trasera con el nombre interno Horse Shell. Las tres funciones principales de Horse Shell son:
- Un shell remoto para ejecutar comandos en el dispositivo infectado
- Transferencia de archivos para cargar y descargar archivos hacia y desde el dispositivo infectado
- El intercambio de datos entre dos dispositivos utilizando CALCETINES5un protocolo para enviar conexiones TCP a una dirección IP arbitraria y proporcionar un medio para reenviar paquetes UDP.
La funcionalidad SOCKS5 parece ser el objetivo final del implante. Al crear una cadena de dispositivos infectados que establecen conexiones encriptadas con solo los dos nodos más cercanos (uno en cada dirección), es difícil que cualquiera que tropiece con uno de ellos sepa el origen o el destino final o el verdadero propósito de la infección. Como escribieron los investigadores de Check Point:
El implante puede transmitir la comunicación entre dos nodos. Al hacerlo, los atacantes pueden crear una cadena de nodos que retransmitirán el tráfico al servidor de comando y control. Al hacerlo, los atacantes pueden ocultar el comando y control final, ya que cada nodo de la cadena tiene información solo sobre los nodos anterior y siguiente, siendo cada nodo un dispositivo infectado. Solo un puñado de nodos conocerá la identidad del comando y control final.
Mediante el uso de múltiples capas de nodos para tunelizar la comunicación, los actores de amenazas pueden ocultar el origen y el destino del tráfico, lo que dificulta que los defensores rastreen el tráfico hasta el C2. Esto hace que sea más difícil para los defensores detectar y responder al ataque.
Además, una cadena de nodos infectados dificulta que los defensores interrumpan la comunicación entre el atacante y el C2. Si un nodo de la cadena se ve comprometido o desactivado, el atacante aún puede mantener la comunicación con el C2 enrutando el tráfico a través de un nodo diferente en la cadena.