Tu router te está espiando, y lo ha hecho al menos durante los últimos cinco años
Especialistas detectan la plataforma DKnife, diseñada para interceptar el tráfico en dispositivos de red.
Los especialistas de Cisco Talos detectaron una plataforma oculta de ataques que durante años operó sin ser detectada dentro del equipo de red y sustituyó el tráfico de Internet de los usuarios. Se trata de un conjunto de componentes maliciosos llamado «DKnife», que se infiltra en routers y dispositivos de borde de red, vigila los datos y suministra a las víctimas actualizaciones de software infectadas.
Los autores del informe determinaron que DKnife es un conjunto completo para vigilancia y captura de tráfico. Está compuesto por siete módulos para Linux y puede analizar paquetes de red, modificar el contenido de las respuestas de los servidores, redirigir descargas de archivos y distribuir programas maliciosos. Según metadatos dentro de los archivos, se observa que la herramienta se utiliza al menos desde 2019, y los servidores de control siguen operando en la actualidad.
La plataforma ataca una amplia gama de dispositivos, desde ordenadores y teléfonos inteligentes hasta dispositivos del Internet de las cosas. La técnica principal consiste en interceptar descargas y actualizaciones de software. En lugar del archivo legítimo, a la víctima se le envía sin su conocimiento uno infectado. De ese modo se propagaron las conocidas puertas traseras maliciosas ShadowPad y DarkNimbus. La suplantación se aplicó también a actualizaciones de aplicaciones para Android.
El análisis mostró que el objetivo principal de los ataques está relacionado con usuarios de habla china. Los módulos para el robo de credenciales apuntan a servicios de correo chinos y a aplicaciones móviles populares. En el código y en las configuraciones se encontraron numerosos comentarios en chino simplificado, así como menciones de servicios de Internet y medios locales. Por el conjunto de indicios, los investigadores vinculan con alta probabilidad la herramienta a grupos de hackers de origen chino.
Durante el estudio de la infraestructura de control, los especialistas hallaron intersecciones con otra campaña maliciosa que empleaba la puerta trasera WizardNet. Anteriormente esta se había distribuido a través de otro conjunto de interceptación de tráfico. Métodos de trabajo similares, rutas idénticas de redirección de enlaces y configuraciones de servidores apuntan a un origen común o a un desarrollo conjunto de las herramientas.
DKnife se instala en dispositivos de red con Linux y está adaptado para el firmware de routers. Puede sustituir las respuestas del sistema de nombres de dominio, interceptar actualizaciones de aplicaciones y programas, interferir con soluciones de seguridad y cortar las conexiones de los antivirus con sus servidores. Componentes individuales despliegan dentro de la red una interfaz virtual especial, a través de la cual a la víctima se le entrega archivos maliciosos como si provinieran de una fuente local. Esto ayuda a eludir controles y reduce la probabilidad de detección.
Además de suplantar descargas, la plataforma recopila detalladamente información sobre la actividad de los usuarios. Rastrea el uso de mensajerías, el inicio de aplicaciones, la lectura de noticias, compras, viajes en taxi, el uso de mapas y otras acciones. Los datos obtenidos se envían a servidores de control remotos. También dispone de mecanismos de phishing y de interceptación de contraseñas de servicios de correo.
Se señala además que los routers y los dispositivos de borde de red son cada vez más objetivo de ataques dirigidos complejos. Herramientas como estas brindan a los atacantes control sobre todo el tráfico que atraviesa la red y permiten infectar dispositivos sin la intervención del usuario. Los especialistas recomiendan prestar especial atención a la actualización de firmwares, al control de la configuración de la red y al monitoreo de actividad sospechosa a nivel de red.