Nuestro router es indispensable para gozar de una buena y estable conexión a Internet. Ya sea el instalado por la operadora, o uno neutro que hayamos adquirido e instalado, si no son seguros estaremos expuestos a ataques maliciosos. Hace poco comentábamos los riesgos que corren las empresas al vender routers en el mercado de segunda mano, pues en relación con la seguridad estarían exhibiendo información sensible.
Pues bien, desde el medio Ars Technica, hoy conocemos otro caso de hackeo de routers, esta vez proveniente del país del este asiático. ¿El culpable? Un malware que penetra en los routers convirtiéndolos en proxy para ciberdelincuentes que estarían apoyados por el mismo gobierno.
Los afectados son equipos principalmente domésticos
Varios investigadores han desvelado recientemente su último descubrimiento. Se trata de un firmware malicioso capaz de insertarse en un amplio abanico de routers domésticos, como los que tenemos en casa de uso particular.
Al estar infectados, transmiten el tráfico de la red a servidores en los que se encuentran hackers chinos patrocinados por el propio Estado. Dicho firmware deja abierta una puerta trasera que permite a los delincuentes acceder a las comunicaciones, permitiendo la transferencia de archivos. Concretamente, este implante venía camuflado como si se tratara de un firmware original de TP-Link.
El código, programado en el lenguaje C++, sería fácilmente modificable para hacerlo compatible con otros modelos de routers. Según la investigación emprendida por Check Point Research, la infraestructura pertenece a hackers vinculados a Mustang Panda, asociado al gobierno chino por firmas de seguridad como Avast y ESET.
De acuerdo a la confirmación de los investigadores, el objetivo no es el usuario, sino que "son sólo un medio para alcanzar un objetivo". ¿Cuál es ese objetivo? Pues crear una cadena de nodos entre los routers infectados. Curiosamente, este hallazgo se debe a una investigación enfocada en ataques a entidades europeas de asuntos exteriores.
Horse Shell, la puerta trasera que transmite la información
Para los desarrolladores de este malware, el nombre ideal ha sido Horse Shell, cuyas funciones principales llegan a sumar tres. Primero, destaca un shell remoto capaz de ejecutar comandos en el dispositivo infectado. En segundo lugar, la transferencia de archivos desde y hacia el router afectado. Por último, un intercambio de datos usando el protocolo SOCKS5 (convierte las conexiones TCP en proxy que se dirigen a una IP arbitraria, consiguiendo el reenvío de paquetes UDP).
La meta final es precisamente el protocolo citado, pues de esa manera es muy complicado averiguar el origen o destino del intercambio de datos. De la misma forma, también desconoceríamos el verdadero propósito del ataque. Como leemos en el medio especializado, este tipo de ataques no son novedad.
De hecho, es un viejo truco, avistado en otras ocasiones. Como ejemplo tenemos el nombre de VPNFilter descubierto en 2018, que puede resultarte familiar. Este infectaba dispositivos de firmas conocidas como Linksys, TP-Link o Netgear, convirtiéndolos en un proxy con SOCKS5.
Cisco y Asus también fueron afectadas por ZuoRAT, un malware descubierto el pasado año 2022 del que se hicieron eco los compañeros de Xataka Smart Home. Sea como sea, los investigadores no conocen cómo se instala este firmware malicioso, pero instan a los usuarios a comprobar el hash de sus sistemas, para certificar que coincidan con los originales.
Vía | Ars Technica
Imagen de portada | Pepu Ricca con Bing Image Creator
En Xataka Móvil | Router portátil 4G y 5G, guía de compra: qué mirar antes de comprar y modelos recomendados
Ver 1 comentarios