Se hace pasar por un archivo del sistema para tomar el control de routers sin ser detectado: descubren un nuevo método

Se hace pasar por un archivo del sistema para tomar el control de routers sin ser detectado: descubren un nuevo método

Los sistemas de defensa no detectaron al intruso durante todo un mes

image

Una biblioteca maliciosa puede ocultarse durante años entre archivos del sistema comunes, y un nuevo backdoor para Linux utiliza precisamente esa técnica para atacar a los routers iKuai. Una muestra con detección nula en VirusTotal fue encontrada el 1 de julio de este año, aunque el archivo se subió por primera vez desde Japón el 8 de junio.

El backdoor recibió el nombre libjson_script.so.0 y se hace pasar por un componente legítimo del proyecto OpenWrt. Las referencias a los parámetros GWID y VERSTRING en los archivos del sistema apuntan a routers iKuai. Ambos valores aparecen en el firmware del fabricante; sin embargo, el autor del análisis no encontró infecciones confirmadas.

Tras iniciarse, el programa malicioso evita la aparición de una segunda copia, descifra la configuración y se comunica con el servidor de control. La conexión se realiza por HTTPS sin verificar el certificado, y la información transmitida está protegida por el cifrado AES integrado. Por defecto, el backdoor se comunica una vez por hora.

Al servidor se envían el identificador del gateway, la arquitectura del dispositivo, el nombre del host, la dirección IP local, la versión del firmware, el número de proceso y el directorio de trabajo. En respuesta, el backdoor recibe una lista cifrada de tareas y el intervalo hasta el siguiente contacto.

Los operadores pueden ejecutar comandos de shell, cambiar directorios, descargar y ejecutar archivos ELF adicionales, crear tareas programadas y cancelarlas. Un comando separado permite leer archivos de hasta 512 KB, codificar su contenido en Base64 y enviarlo al servidor de control. Los resultados de todas las operaciones se devuelven en forma de mensajes JSON cifrados.

La búsqueda por indicadores de software malicioso no reveló otras muestras, por lo que el backdoor parece por ahora raro. Para verificar routers conviene buscar el archivo libjson_script.so.0 con hash 4e6276cc400b3b9e9616d04474b64a8fa0c35375b9673ab41a92a6d5bce72d8d, las conexiones al 47.80.111[.]129:7380 y el archivo desconocido /usr/share/misc/.runlevel.cache.