Desde hace dos años un grupo de cibercriminales se ha dado la tarea de infectar una extensa gama de routers en América del Norte y Europa con un malware que toma el control total de los dispositivos conectados que ejecutan Windows, MacOS y Linux. Esta información se dio a conocer gracias a unos investigadores que expusieron el caso.
El descubrimiento, ha demostrado que al menos 80 objetivos han sido infectados por el malware. Los routers vulnerados han sido fabricados por Cisco, Netgear, Asus y DayTek.
Este malware tiene por nombre ZuoRAT, el troyano de acceso remoto es parte de una campaña de hacking más amplia que ha existido desde el cuarto trimestre de 2020 y que hasta los momentos continúa operando.
El malware fabricado bajo la arquitectura MIPS y compilado para routers de pequeñas oficinas y oficinas domésticas es significativo, especialmente por su gama de capacidades. Su habilidad para enumerar todos los dispositivos conectados a un router infectado y recopilar las búsquedas de DNS y el tráfico de red que envÃan y reciben y permanecer sin ser detectados es el sello de un actor de amenazas altamente sofisticado.
"Aunque comprometer los routers SOHO como un vector de acceso para obtener acceso a una LAN adyacente no es una técnica novedosa, rara vez se ha informado de ello", escribieron los investigadores de Black Lotus Labs. "Del mismo modo, los informes de ataques de tipo persona en el medio, como el secuestro de DNS y HTTP, son aún más raros y una marca de una operación compleja y dirigida. El uso de estas dos técnicas demostró congruentemente un alto nivel de sofisticación por parte de un actor de la amenaza, lo que indica que esta campaña fue posiblemente realizada por una organización patrocinada por el Estado."
La campaña comprende al menos cuatro piezas de malware, tres de ellas escritas desde cero por el actor de la amenaza. ZuoRAT es la primera pieza, basado en MIPS, que se parece mucho al malware Mirai (IoT), que logró ataques de denegación de servicio distribuidos que batieron récords y paralizaron algunos servicios de Internet durante dÃas. ZuoRAT suele instalarse aprovechando vulnerabilidades no parcheadas en dispositivos SOHO.
Una vez instalado, ZuoRAT enumera los dispositivos conectados al router infectado. El actor de la amenaza puede entonces utilizar el secuestro de DNS y HTTP para hacer que los dispositivos conectados instalen otro malware. Dos de esas piezas de malware (denominadas CBeacon y GoBeacon) están hechas a medida, la primera escrita para Windows en C++ y la segunda escrita en Go para la compilación cruzada en dispositivos Linux y macOS. ZuoRAT también puede infectar dispositivos conectados con la herramienta de hacking Cobalt Strike, ampliamente utilizada.
ZuoRAT puede saltar las infecciones a los dispositivos conectados utilizando uno de los dos métodos:
Secuestro de DNS, que sustituye las direcciones IP válidas correspondientes a un dominio como Google o Facebook por una maliciosa operada por el atacante.
Secuestro HTTP, en el que el malware se inserta en la conexión para generar un error 302 que redirige al usuario a una dirección IP diferente.
Black Lotus Labs dijo que la infraestructura de mando y control utilizada en la campaña es intencionalmente compleja en un intento de ocultar lo que está sucediendo. Un conjunto de infraestructuras se utiliza para controlar los routers infectados y otro se reserva para los dispositivos conectados si se infectan posteriormente.
Los investigadores observaron routers de 23 direcciones IP con una conexión persistente a un servidor de control que, según creen, estaba realizando un estudio inicial para determinar si los objetivos eran de interés. Un subconjunto de esos 23 routers interactuó posteriormente con un servidor proxy con sede en Taiwán durante tres meses. Otro subconjunto de routers rotó a un servidor proxy con sede en Canadá para ofuscar la infraestructura del atacante.
La visibilidad de Black Lotus Labs indica que ZuoRAT y la actividad correlativa representan una campaña altamente dirigida contra organizaciones de Estados Unidos y Europa Occidental que se mezcla con el tráfico tÃpico de Internet a través de una infraestructura C2 ofuscada y de múltiples etapas, probablemente alineada con múltiples fases de la infección del malware. No se puede exagerar la medida en que los actores se esfuerzan por ocultar la infraestructura C2. En primer lugar, para evitar sospechas, entregaron el exploit inicial desde un servidor virtual privado (VPS) dedicado que alojaba contenido benigno. A continuación, aprovecharon los routers como C2 proxy que se ocultaban a la vista a través de la comunicación de router a router para evitar aún más la detección. Y, por último, rotaban los routers proxy periódicamente para evitar la detección.El descubrimiento de esta campaña en curso es el más importante que afecta a los routers SOHO desde VPNFilter, el malware para routers creado y desplegado por el gobierno ruso que fue descubierto en 2018. Los routers a menudo se pasan por alto, especialmente en la era del trabajo desde casa. Si bien las organizaciones suelen tener requisitos estrictos sobre qué dispositivos pueden conectarse, pocas ordenan la aplicación de parches u otras salvaguardias para los routers de los dispositivos.
Como la mayorÃa de los programas maliciosos para routers, ZuoRAT no puede sobrevivir a un reinicio. El simple reinicio de un dispositivo infectado eliminará el exploit inicial de ZuoRAT, que consiste en archivos almacenados en un directorio temporal. Sin embargo, para recuperarse por completo, los dispositivos infectados deben ser restablecidos de fábrica. Desafortunadamente, en el caso de que los dispositivos conectados hayan sido infectados con el otro malware, no pueden desinfectarse fácilmente.