Los actores de amenazas usan malware avanzado para evadir los enrutadores de nivel empresarial
En una campaña en curso que afecta a América del Norte, América del Sur y Europa, los investigadores han descubierto malware avanzado que convierte los enrutadores comerciales en puestos de escucha controlados por atacantes capaces de espiar el correo electrónico y robar archivos. Además de capturar pasivamente los correos electrónicos IMAP, SMTP y POP, el malware también bloquea los enrutadores con un troyano de acceso remoto que permite a los atacantes descargar archivos y ejecutar los comandos de su elección. La puerta trasera también permite a los atacantes enrutar datos de otros servidores a través del enrutador, convirtiendo el dispositivo en un proxy encubierto para ocultar el verdadero origen de la actividad maliciosa.
Black Lotus Labs “Este tipo de agente muestra que cualquier persona con un enrutador que use Internet puede ser un objetivo potencial, y puede usarse como un proxy para otra campaña, incluso si la entidad propietaria del enrutador no se considera en sí misma un objetivo de inteligencia. ”, escribieron los investigadores de Black Lotus Labs de la firma de seguridad Lumen. “Sospechamos que los actores de amenazas continuarán utilizando múltiples activos comprometidos en conjunto para evadir la detección.” Los investigadores dijeron que la campaña, denominada Hiatus, ha estado operativa desde al menos julio pasado. Hasta ahora, ha afectado principalmente a los modelos DrayTek Vigor 2960 y 3900 en desuso con arquitectura i386. Estos enrutadores de gran ancho de banda admiten conexiones de red privada virtual para cientos de trabajadores remotos. Hasta la fecha, se han infectado aproximadamente 100 enrutadores, lo que representa aproximadamente el 2 por ciento de los enrutadores DrayTek 2960 y 3900 expuestos a Internet. Los investigadores sospechan que el actor de amenazas desconocido detrás de Hiatus está intencionalmente manteniendo su huella pequeña para mantener el sigilo de la operación. Black Lotus todavía no sabe cómo hackear dispositivos en primer lugar. Siempre y cuando esto suceda, el malware se instala a través de un script bash que se implementa después de la explotación. Descarga e instala los dos binarios principales. El primero es HiatusRAT. Una vez instalado, permite que un actor de amenazas remoto realice cosas como ejecutar comandos o software nuevo en el dispositivo. La RAT también tiene dos características incorporadas adicionales inusuales: (1) «Convertir la máquina comprometida en un proxy encubierto para el actor de amenazas. ‘ y (2) usar un binario de captura de paquetes incluido para ‘supervisar el tráfico del enrutador en los puertos asociados con las comunicaciones de transferencia de archivos y correo electrónico’. Los investigadores sospechan que el actor de amenazas instaló el software SOCKS 5 en la Característica 1 para ofuscar el origen del tráfico malicioso enrutándolo a través del enrutador infectado. Los investigadores de Black Lotus escribieron:
La función tcp_forward de HiatusRAT permite a un atacante reenviar su baliza desde una infección separada a través de un dispositivo comprometido antes de que llegue a un nodo C2 ascendente. Por el contrario, también pueden transmitir su comando desde la infraestructura ascendente a un shell web a través del enrutador comprometido en el país del dispositivo de destino y luego interactuar con un agente más pasivo para ofuscar su verdadera fuente de origen pasando por medidas de seguridad basadas en geo-cercas. .
Black Lotus Labs Un binario tcpdump que permite la captura de paquetes fue el motor detrás de la Característica 2. Le dio a Hiatus la capacidad de monitorear el tráfico en los puertos que transportan correo electrónico y comunicaciones FTP desde la LAN adyacente. Ha sido preconfigurado para trabajar con los protocolos de correo electrónico IMAP, POP y SMTP.
Black Lotus Labs Hiatus se dirige principalmente a los enrutadores DrayTek que ejecutan una arquitectura i386. Sin embargo, los investigadores han descubierto binarios preconstruidos compilados para plataformas ARM, MIPS64 big-endian y MIPS32 little-endian. La capacidad de captura de paquetes de HiatusRAT debería servir como una importante llamada de atención para cualquiera que todavía envíe correo electrónico sin cifrar. En los últimos años, los servicios de correo electrónico han mejorado en la configuración automática de cuentas para usar protocolos como SSL/TLS en el puerto 993 o STARTTLS en el puerto 143. Es probable que aquellos que aún envían correos electrónicos en texto sin formato se arrepientan más temprano que tarde. También es una buena idea recordar que los enrutadores son computadoras conectadas a Internet y, por lo tanto, requieren un mantenimiento regular para garantizar actualizaciones y otras medidas como: por ejemplo, cambiar todas las contraseñas predeterminadas. También puede tener sentido que las empresas usen un monitoreo de enrutador dedicado.