Los investigadores han descubierto un malware avanzado que está convirtiendo los routers de nivel empresarial en puestos de escucha controlados por atacantes que pueden husmear en el correo electrónico y robar archivos en una campaña en curso que afecta a Norteamérica, Sudamérica y Europa.
Además de capturar de forma pasiva correo IMAP, SMTP y POP, el malware también abre los routers con un troyano de acceso remoto que permite a los atacantes descargar archivos y ejecutar comandos de su elección. La puerta trasera también permite a los atacantes canalizar datos de otros servidores a través del router, convirtiendo el dispositivo en un proxy encubierto para ocultar el verdadero origen de la actividad maliciosa.
"Este tipo de agente demuestra que cualquier persona con un router que utilice Internet puede ser potencialmente un objetivo (y puede ser utilizado como proxy para otra campaña), incluso si la entidad propietaria del router no se ve a sí misma como un objetivo de inteligencia", escribieron los investigadores de Black Lotus Labs de la firma de seguridad Lumen. "Sospechamos que los actores de amenazas van a seguir utilizando múltiples activos comprometidos en conjunción con otros para evitar ser detectados".
Según los investigadores, la campaña, denominada Hiatus, lleva en marcha al menos desde el pasado mes de julio. Hasta el momento, ha afectado principalmente a los modelos Vigor 2960 y 3900 de DrayTek con arquitectura i386. Estos routers de gran ancho de banda soportan conexiones de redes privadas virtuales para cientos de trabajadores remotos. Hasta la fecha, se han infectado unos 100 routers, lo que supone alrededor del 2% de los routers DrayTek 2960 y 3900 expuestos a Internet. Los investigadores sospechan que el desconocido actor de la amenaza que está detrás de Hiatus mantiene deliberadamente una huella pequeña para mantener oculta la operación.
Black Lotus todavía no sabe cómo se hackean los dispositivos en primer lugar. El malware se instala a través de un script bash que se despliega tras la explotación. Descarga e instala los dos binarios principales.
El primero es HiatusRAT. Una vez instalado, permite a un atacante remoto ejecutar comandos o software nuevo en el dispositivo. La RAT también incluye dos funciones adicionales inusuales: (1) "convertir la máquina comprometida en un proxy encubierto para el atacante" y (2) utilizar un binario de captura de paquetes incluido para "monitorizar el tráfico del router en puertos asociados con comunicaciones de correo electrónico y transferencia de archivos".
Los investigadores sospechan que el actor de la amenaza incluyó un software SOCKS 5 en la función 1 para ofuscar el origen del tráfico malicioso haciéndolo pasar a través del router infectado. Los investigadores de Black Lotus escribieron
La función HiatusRAT tcp_forward permite a un actor de amenaza retransmitir su baliza desde una infección separada a través de un dispositivo comprometido antes de llegar a un nodo C2 aguas arriba. A la inversa, también pueden hacer eco de su comando a un shell web desde la infraestructura de aguas arriba a través del router comprometido en el país del dispositivo objetivo y luego interactuar con un agente más pasivo para ocultar su verdadera fuente de origen al pasar las medidas de seguridad basadas en geo-cercas.
El motor de la función 2 era un binario tcpdump que permitía la captura de paquetes. Proporcionaba a Hiatus la capacidad de supervisar el tráfico en los puertos que transmitían comunicaciones de correo electrónico y FTP desde la LAN adyacente. Estaba preconfigurado para funcionar con los protocolos de correo electrónico IMAP, POP y SMTP.
Hiatus se dirige principalmente a los routers DrayTek con arquitectura i386. Sin embargo, los investigadores han descubierto binarios compilados para plataformas ARM, MIPS64 big endian y MIPS32 little endian.
La capacidad de HiatusRAT para capturar paquetes debería servir de llamada de atención para todos aquellos que sigan enviando correo electrónico sin cifrar. En los últimos años, los servicios de correo electrónico han mejorado a la hora de configurar automáticamente las cuentas para que utilicen protocolos como SSL/TLS en el puerto 993 o STARTTLS en el puerto 143. Cualquiera que siga enviando correo electrónico en texto plano se encontrará con un problema.
También hay recordar que los routers son dispositivos conectados a Internet y, como tales, requieren una atención regular para garantizar que se respetan las actualizaciones y otras medidas, como cambiar todas las contraseñas predeterminadas. En el caso de las empresas, también puede tener sentido utilizar una supervisión específica de los routers.