Una red de aproximadamente 14.000 enrutadores y otros dispositivos de red fue infectada con un malware especialmente diseñado para resistir intentos de desinstalación, según advirtieron investigadores de Black Lotus Labs, el laboratorio de investigación de la empresa de ciberseguridad Lumen Technologies.
Los especialistas detectaron que los equipos comprometidos —muchos de ellos fabricados por ASUS— fueron incorporados a una botnet que funciona como red proxy para transportar de forma anónima tráfico utilizado en actividades de ciberdelito.
El malware, denominado KadNap, se propaga aprovechando vulnerabilidades que no han sido corregidas en los dispositivos, explicó el investigador Chris Formosa en declaraciones recogidas por la web especializada Ars Technica.
La gran cantidad de routers ASUS afectados se debería a que los operadores de la botnet cuentan con un exploit confiable para fallas presentes en esos modelos, y no necesariamente a la utilización de vulnerabilidades de “día cero”.
Una botnet diseñada para resistir
Los investigadores señalaron que el número de dispositivos comprometidos ronda los 14.000 por día, una cifra superior a los cerca de 10.000 detectados en agosto, cuando la botnet fue identificada por primera vez.
La mayor parte de los equipos infectados se encuentran en Estados Unidos, aunque también se detectaron casos en Taiwán, Hong Kong y Rusia.
Una de las características más llamativas de KadNap es su arquitectura peer-to-peer basada en Kademlia, una tecnología que utiliza tablas hash distribuidas para ocultar las direcciones IP de los servidores de comando y control. Este diseño descentralizado dificulta la detección y el bloqueo mediante los métodos tradicionales empleados para desarticular botnets.
“La botnet KadNap se distingue de otras redes proxy anónimas por su uso de un control descentralizado basado en una red peer-to-peer”, señalaron Formosa y el investigador Steve Rudd en un informe publicado esta semana.
Cómo funciona la red
Las tablas hash distribuidas permiten que los nodos de la red localicen información o servidores sin depender de un centro de control único. Este modelo ya se utiliza en tecnologías como BitTorrent y el InterPlanetary File System (IPFS).
En lugar de conectarse a un servidor central, cada nodo consulta a otros nodos cercanos para encontrar la información que busca. Gracias a esta estructura, la red se vuelve más resistente a fallas o a ataques de denegación de servicio.
Los investigadores indicaron que los dispositivos comprometidos están siendo utilizados por Doppelganger, un servicio proxy de pago que enruta el tráfico de Internet de sus clientes a través de conexiones residenciales de usuarios desprevenidos.
Al aprovechar direcciones IP domésticas y conexiones de alto ancho de banda, el sistema permite navegar de forma anónima o acceder a sitios web que de otro modo podrían estar bloqueados.
Cómo proteger los dispositivos
Según los especialistas, los propietarios de routers pueden verificar posibles infecciones revisando las direcciones IP y ciertos hashes en los registros de sus dispositivos.
Para eliminar el malware se recomienda:
* Restablecer el router a configuración de fábrica,
* Instalar todas las actualizaciones de firmware disponibles,
* Utilizar contraseñas administrativas seguras,
* Desactivar el acceso remoto si no es necesario.
Los investigadores advirtieron además que el malware puede reinstalarse automáticamente tras un simple reinicio del dispositivo si no se aplican las medidas de seguridad correspondientes.
Acerca de los comentarios
Hemos reformulado nuestra manera de mostrar comentarios, agregando tecnología de forma de que cada lector pueda decidir qué comentarios se le mostrarán en base a la valoración que tengan estos por parte de la comunidad. AMPLIAREsto es para poder mejorar el intercambio entre los usuarios y que sea un lugar que respete las normas de convivencia.
A su vez, habilitamos la casilla [email protected], para que los lectores puedan reportar comentarios que consideren fuera de lugar y que rompan las normas de convivencia.
Si querés leerlo hacé clic aquí[+]