Un nuevo malware infecta tu router para que lo usen atacantes chinos

Últimamente los router se están convirtiendo en la puerta de acceso de todo tipo de infecciones y de ataques. En este caso, un estudio ha desvelado que se encuentra circulando un peligroso malware que puede infectar los routers domésticos para acabar siendo controlados por hackers que podrían estar financiados por el gobierno chino. ¿Te deberías preocupar de lo que puede estar ocurriendo en tu router sin que lo sepas?

En uno de sus últimos comunicados, el equipo de Check Point Research ha revelado que los hackers chinos están utilizando routers del mundo entero como herramienta para la transmisión de sus ataques. Para ello, introducen un malware en los dispositivos y, a partir de ese momento, pueden controlarlos en su totalidad. El problema es que, por lo que comentan, el gobierno chino está al tanto de lo que hacen y les dan su apoyo.

Así es como lo hacen

El malware llega al router por medio de archivos de firmware, por lo que no se trata de un error del cual el usuario tenga la responsabilidad. Se sabe que está ocurriendo con los routers TP-Link, con los que los atacantes chinos toman el control a distancia una vez se ha cargado el archivo en el sistema. Desde ese momento tienen en sus manos el control para acceder al router desde otro ordenador, y que, sin que te enteres de nada, lo estén utilizando a la hora de darle órdenes a distancia. Pueden subir archivos, descargar o incluso borrar con toda la libertad del mundo.

Su objetivo es usar esos router «secuestrados» como intermediarios que les permitan llevar a cabo sus planes y ataques, estableciendo una puerta trasera que podría llegar a ser realmente peligrosa. Al fin y al cabo, el usuario no llega a tener constancia de lo que ocurre ni de lo que está haciendo el router a sus espaldas.

¿Cuál es el objetivo final?

Como te explicamos, no es otro que camuflar sus actividades. Lo que buscan estos hackers chinos es crear un punto de unión entre su propia conexión y la de tu router para utilizarla con la intención de realizar actividades delictivas. De esa forma pueden ocultar su rastro y llevar a cabo todo aquello que el gobierno chino, posiblemente, esté supervisando o incluso ordenando.

Una vez la investigación de esta alerta ha pasado al siguiente nivel, el equipo que está al cargo del análisis ha llegado a descubrir que tras los ataques y el malware se encuentra Mustang Panda. Este grupo de hackers ya ha sido mencionado con anterioridad por algunas de las principales firmas de seguridad que lo tienen en el punto de mira, como es el caso de Avast. Y eso es justamente lo que ha permitido saber que el gobierno chino podría estar detrás del plan de llevar este malware a los routers, ya que de forma previa ya ha sido vinculado con el grupo hacker.

La forma en la que se ha descubierto la infección ha sido siguiendo una serie de ataques a organizaciones gubernamentales de Europa en las que había registros de distintos dispositivos totalmente aleatorios. Lo que se ha encontrado es un componente interno que tiene el nombre de Horse Shell que se ha llegado a ver instalado en el firmware de multitud de dispositivos. La única buena noticia, en este sentido, es que los usuarios no tienen que preocuparse demasiado acerca de su propia seguridad. El motivo de ello es que la instalación del malware en los routers ha sido de forma totalmente aleatoria. No se han elegido dispositivos concretos y las autoridades ya están al tanto de lo que ha ocurrido. No obstante, no se trata de algo que preocupe menos a la vista de los problemas que puede generar en la conexión y estabilidad de tu router.

Con Horse Shell, los atacantes chinos utilizan el protocolo SOCKS5 para realizar la conexión entre los distintos dispositivos. Eso les permite ejecutar comandos a distancia o realizar distintas acciones con archivos. Por suerte, ya se ha dado la alerta y los expertos en las principales entidades de seguridad trabajan en analizar el problema.

Fuente: Check Point Research | adslzone