Image credit:

Un potente malware está espiando a routers de todo el mundo

Kaspersky ha dado la voz de alarma.
0 Shares
Share
Tweet
Share
Save

Investigadores de Kaspersky Labs han descubierto lo que podría ser otra cepa de malware patrocinada por el gobierno, y lo peor es que es la más avanzada vista hasta ahora. Con el nombre de Slingshot, el código espía a los ordenadores a través de un ataque de múltiples capaz que apunta directamente a los routers de MikroTik. Lo que hace es reemplazar un archivo de la biblioteca por una versión modificada que descarga otros componentes maliciosos, para luego lanzar un ataque inteligente a los ordenadores que estén conectados al dispositivo.

Canhadr, por ejemplo, ejecuta un código kernel de bajo nivel que da acceso libre al intruso, incluyendo acceso sin límites a los datos y a la memoria. Otro malware es GollumApp, que se centra en el nivel del usuario e incluye código para administrar el sistema de archivos y mantener el malware activo.

Kaspersky describe a estos dos elementos como "piezas maestras", y lo dice con razón. Por un lado, no es nada fácil ejecutar código kernel de este tipo sin sufrir bloqueos. Slingshot almacena además sus archivos de malware en un sistema de archivos virtual cifrado, ocultando cada cadena de texto en sus módulos, llamando directamente a los servicios (evitando así sistemas de seguridad por software) e incluso apagando componentes cuando las herramientas forenses se activan. Si hay un método común para detectar malware o identificar su comportamiento, Slingshot probablemente sabrá defenderse contra él. Lo peor es que es probable que el c´digo haya estado funcionando desde por lo menos el 2012.

El malware puede hacer prácticamente lo que quiera, y para que te hagas una idea, sería capaz de identificar las pulsaciones en el teclado, contraseñas y capturas de pantalla. No está muy claro cómo y porqué Slingshot entra en el sistema aprovechando el sistema de administración de los routers, aunque Kaspersky señala varias pistas.

Este método tan sofisticado que combina con un enfoque de espionaje hace creer a Kaspersky que lo más probable es que haya sido creado por una agencia estatal (recuerda al malware Regin que fue usado para espiar a la compañía belga Belgacom). Hay otras pistas que apuntan a que los responsables hablan en inglés, aunque por ahora el culpable no está del todo claro. En una pequeña muestra de 100 individuos, los afectados con Slingshot se localizaban en países como Afghanistan, Iraq, Jordania, Kenya, Libya y Turquía, por lo que los responsables podrían estar entre Australia, Canada, Nueva Zelanada, Reino Unido y Estados Unidos, que buscan controlar los problemas de terrorismo, aunque por ahora no hay nada claro.

Una simple actualización de firmware debería de solucionar los problemas de seguridad de los routers de MikroTik con Slingshot, aunque la preocupación está en realidad en conocer hasta dónde ha sido capaz de llegar el malware y si hay más routers afectados por lo mismo.

From around the web

ear iconeye icontext filevr