Los hackers más astutos de Rusia infectan los dispositivos de la red con un nuevo malware de botnet

Los hackers de una de las agencias de espionaje más elitistas y descaradas de Rusia han infectado dispositivos de red domésticos y de pequeñas oficinas en todo el mundo con un malware nunca visto hasta ahora que convierte los dispositivos en plataformas de ataque que pueden robar datos confidenciales y atacar otras redes.

Los hackers más astutos de Rusia infectan los dispositivos de la red con un nuevo malware de botnet

Cyclops Blink, como ha sido bautizado el avanzado malware, ha infectado alrededor del 1 por ciento de los dispositivos de cortafuegos de red fabricados por el fabricante de dispositivos de red WatchGuard, “dijo” la compañía el miércoles. El malware es capaz de abusar de un mecanismo legítimo de actualización del firmware que se encuentra en los dispositivos infectados de una manera que le da persistencia, lo que significa que el malware sobrevive a los reinicios.

Como VPNFilter, pero más sigiloso

Con VPNFilter expuesto, los hackers de Sandworm construyeron un nuevo malware para infectar dispositivos de red. De igual manera que su predecesor, Cyclops Blink tiene todas las características del firmware desarrollado por profesionales, pero también tiene nuevos trucos que lo hacen más sigiloso y difícil de eliminar.

“El malware en sí es sofisticado y modular, con una funcionalidad básica para enviar información del dispositivo a un servidor y permitir la descarga y ejecución de archivos”, escribieron funcionarios del Centro Nacional de Ciberseguridad del Reino Unido en un aviso. “También hay una funcionalidad para añadir nuevos módulos mientras el malware se está ejecutando, lo que permite a Sandworm implementar una capacidad adicional según sea necesario”.

Manteniendo al WatchGuard como rehén

Hasta ahora, según el aviso, Sandworm ha utilizado “principalmente” el malware para infectar dispositivos de red de WatchGuard, pero es probable que los hackers sean capaces de compilarlo para que funcione también en otras plataformas. El malware consigue persistir en los dispositivos WatchGuard abusando del proceso legítimo que utilizan los dispositivos para recibir actualizaciones de firmware.

El malware comienza copiando las imágenes de firmware almacenadas en el dispositivo y modificándolas para incluir funcionalidad maliciosa. A continuación, Cyclops Blink manipula un valor HMAC utilizado para demostrar criptográficamente que la imagen es legítima para que los dispositivos la ejecuten. El proceso es el siguiente:

Los hackers más astutos de Rusia infectan los dispositivos de la red con un nuevo malware de botnet

El malware contiene una clave pública RSA codificada, que se utiliza para las comunicaciones C2, así como una clave privada RSA codificada y un certificado X.509. Pero no parece que se utilicen activamente en las muestras analizadas por los funcionarios del Reino Unido, lo que hace posible que estén destinadas a ser utilizadas por un módulo independiente.

Cyclops Blink utiliza la librería de criptografía OpenSSL para encriptar las comunicaciones por debajo de la encriptación proporcionada por TLS.

El aviso del miércoles decía:

Cada vez que el malware emite balizas, selecciona aleatoriamente un destino de la lista actual de direcciones IPv4 del servidor C2 y de la lista de puertos C2 codificados. Las balizas consisten en mensajes en cola que contienen datos de módulos en ejecución. Cada mensaje se cifra individualmente utilizando AES-256-CBC. La función OpenSSL_EVP_SealInit se utiliza para generar aleatoriamente la clave de cifrado y el IV de cada mensaje, y luego los cifra utilizando la clave pública RSA codificada. La función OpenSSL_RSA_public_decrypt se utiliza para descifrar las tareas, recibidas en respuesta a las balizas, utilizando la clave pública RSA codificada.

Otras nuevas medidas de ocultación incluyen el uso de la red de privacidad Tor para ocultar las direcciones IP utilizadas por el malware. Los funcionarios del Reino Unido escribieron:

Los dispositivos de las víctimas están organizados en clusters y cada despliegue de Cyclops Blink tiene una lista de direcciones IP de comando y control (C2) y puertos que utiliza (T1008). Todas las direcciones IP C2 conocidas hasta la fecha han sido utilizadas por dispositivos de firewall WatchGuard comprometidos. Las comunicaciones entre los clientes y los servidores de Cyclops Blink están protegidas bajo Transport Layer Security (TLS) (T1071.001), utilizando claves y certificados generados individualmente. Sandworm gestiona Cyclops Blink conectándose a la capa C2 a través de la red Tor:

[content-egg module=Youtube template=custom/simple]

Michael Rojas

Michael Rojas

Me convertí en un entusiasta de la tecnología a finales de 2012, y desde entonces, he estado trabajando para publicaciones de renombre en toda América y España como freelance para cubrir productos de empresas como Apple, Samsung, LG entre otras. ¡Gracias por leerme! Si deseas saber más sobre mis servicios, envíame tu consulta a michaelrojas@elenbyte.com.

Elenbyte
Logo
Comparar artículos
  • Total (0)
Comparar
0