Un grupo chino estuvo presuntamente implicado en los atentados y esta generando alerta en los ruteadores.
Desde al menos mayo de 2021, un malware para Linux llamado AVrecon se ha utilizado para infectar más de 70.000 routers para pequeñas oficinas/oficinas domésticas (SOHO) basados en Linux y añadirlos a una botnet diseñada para robar ancho de banda y proporcionar un servicio proxy doméstico oculto. Por lo tanto, el malware AVrecon infecta 70.000 routers Linux para formar una botnet.
Esto permite a sus operadores ocultar un amplio espectro de actividades maliciosas, desde el fraude publicitario digital hasta el espionaje de contraseñas.
Según el equipo de investigación de amenazas Black Lotus Labs de Lumen, aunque el troyano de acceso remoto (RAT) AVrecon comprometió más de 70.000 dispositivos, solo 40.000 se añadieron a la botnet tras conseguir persistencia.
El malware AVrecon infecta 70.000 routers Linux y elude su detección
El malware ha logrado eludir la detección desde que fue detectado por primera vez en mayo de 2021, cuando atacó routers Netgear. Desde entonces, ha pasado más de dos años sin ser detectado, atrayendo lentamente a nuevos bots y convirtiéndose en una de las mayores redes de bots SOHO dirigidas a routers descubiertas en los últimos años.
"Sospechamos que el actor de la amenaza se centró en el tipo de dispositivos SOHO que los usuarios tendrían menos probabilidades de parchear vulnerabilidades y exposiciones comunes (CVEs)", dijo Black Lotus Labs.
"En lugar de utilizar esta botnet para obtener un beneficio rápido, los operadores adoptaron un enfoque más moderado y consiguieron operar sin ser detectados durante más de dos años. Debido a la naturaleza subrepticia del malware, los propietarios de las máquinas infectadas rara vez notan alguna interrupción o pérdida de servicio de ancho de banda."
Cómo funciona la intrusión
Una vez infectado, el malware envía la información del router comprometido a un servidor de mando y control (C2) integrado. Al entrar en contacto, la máquina pirateada recibe instrucciones para establecer comunicación con un grupo independiente de servidores, conocidos como servidores C2 de segunda fase.
Los investigadores de seguridad encontraron 15 de estos servidores de control de segunda etapa, que han estado operativos desde al menos octubre de 2021, basándose en la información de los certificados x.509.
El equipo de seguridad Black Lotus de Lumen también abordó la amenaza AVrecon mediante el enrutamiento nulo del servidor de mando y control (C2) de la botnet en su red troncal.
De este modo, se cortó la conexión entre la botnet maliciosa y su servidor de control central, lo que impidió en gran medida su capacidad para realizar actividades dañinas.
"El uso de cifrado nos impide comentar los resultados de los intentos de pulverización de contraseñas; sin embargo, anulamos el enrutamiento de los nodos de mando y control (C2) e impedimos el tráfico a través de los servidores proxy, lo que dejó inerte a la botnet en la red troncal de Lumen", declaró Black Lotus Labs.
Hay que reforzar la protección
En una directiva operativa vinculante (BOD) publicada el mes pasado, la CISA ordenó a las agencias federales estadounidenses que protegieran los equipos de red expuestos a Internet (incluidos los routers SOHO) en un plazo de 14 días desde su descubrimiento para bloquear posibles intentos de violación.
La CISA advirtió de que, si se lograba comprometer estos dispositivos, las amenazas podrían incorporar los routers pirateados a su infraestructura de ataque y proporcionarles una plataforma de lanzamiento para el movimiento lateral hacia sus redes internas.
La gravedad de esta amenaza se deriva del hecho de que los routers SOHO a menudo se encuentran más allá de los límites del perímetro de seguridad convencional, lo que disminuye en gran medida la capacidad de los defensores para detectar actividades maliciosas.
Grupo chino implicado
El grupo chino de ciberespionaje Volt Typhoon utilizó una táctica similar para construir una red proxy secreta a partir de equipos de red ASUS, Cisco, D-Link, Netgear, FatPipe y Zyxel SOHO pirateados para ocultar su actividad maliciosa dentro del tráfico de red legítimo, según un comunicado de prensa conjunto publicado por las agencias de ciberseguridad Five Eyes (incluidos el FBI, la NSA y CISA) en mayo.
La red proxy secreta ha sido utilizada por hackers estatales chinos para atacar organizaciones de infraestructuras críticas en Estados Unidos desde al menos mediados de 2021.
"Los actores de amenazas están utilizando AVrecon para el tráfico proxy y para participar en actividades maliciosas como la pulverización de contraseñas. Esto es diferente del ataque directo a la red que hemos visto con nuestros otros descubrimientos de malware basado en routers", afirmó Michelle Lee, directora de inteligencia de amenazas de Lumen Black Lotus Laboratories.
"Los defensores deben ser conscientes de que tal actividad maliciosa puede originarse a partir de lo que parece ser una dirección IP residencial en un país diferente al origen real, y el tráfico de direcciones IP comprometidas eludirá las reglas de firewall como geofencing y bloqueo basado en ASN".
Fuente: somoslibres
