Eclipse de Calabaza

 (blog.lumen.com)
1 puntos por GN⁺ 2024-06-01 | 1 comentarios | Compartir por WhatsApp

Resumen del informe de Black Lotus Labs

Descripción general del incidente

  • Ocurrencia del incidente: del 25 al 27 de octubre de 2023, durante 72 horas, más de 600 mil routers de oficina pequeña/hogar (SOHO) pertenecientes a un solo proveedor de servicios de internet (ISP) quedaron fuera de línea.
  • Impacto: los dispositivos infectados quedaron permanentemente inutilizables y fue necesario reemplazar el hardware.
  • Causa principal: se identificó como principal responsable un troyano de acceso remoto (RAT) llamado "Chalubo".

Troyano Chalubo

  • Primer hallazgo: fue detectado por primera vez en 2018.
  • Características:
    • Elimina todos los archivos del disco y se ejecuta en memoria.
    • Usa nombres de procesos aleatorios que ya existen en el dispositivo.
    • Cifra toda la comunicación con el servidor de comando y control (C2).
  • Funciones: puede ejecutar ataques DDoS y scripts de Lua.

Proceso de infección

  • Acceso inicial: es muy probable que haya explotado credenciales débiles o interfaces de administración expuestas.
  • Etapas de la infección:
    • Primera etapa: accede al servidor de payload inicial mediante el script bash get_scrpc.
    • Segunda etapa: descarga y ejecuta scripts y payloads adicionales.
    • Archivos principales: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs, etc.

Estado global de la infección

  • Actividad: desde noviembre de 2023 hasta inicios de 2024, el malware Chalubo estuvo muy activo.
  • Direcciones IP infectadas: al 30 de octubre de 2023, más de 330 mil direcciones IP únicas estaban infectadas.

Conclusión

  • Particularidad: este ataque se limitó a un ASN específico y afectó a más de 600 mil dispositivos.
  • Intención del ataque: dejó los dispositivos inutilizables mediante una actualización de firmware deliberada.
  • Recomendaciones de seguridad:
    • Organizaciones que administran routers SOHO: no usar contraseñas predeterminadas y reforzar la seguridad de las interfaces de administración.
    • Usuarios generales: reiniciar periódicamente el router e instalar actualizaciones de seguridad.

Opinión de GN⁺

  • Punto interesante: este incidente fue muy inusual porque se limitó a un solo ISP y requirió un reemplazo masivo de hardware.
  • Necesidad de reforzar la seguridad: es urgente fortalecer la seguridad de los routers SOHO y de los dispositivos IoT.
  • Lección técnica: el malware está avanzando en técnicas para evadir la detección, como ejecutarse solo en memoria y cifrar sus comunicaciones.
  • Soluciones alternativas: es necesario revisar otras soluciones o proyectos de seguridad que ofrezcan funciones similares.
  • Aspectos a considerar al adoptar: al incorporar nuevas tecnologías de seguridad, se debe considerar la compatibilidad con los sistemas existentes y la facilidad de administración.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-06-01
Comentarios en Hacker News
  • Problema de firmware: Sueña con bloquear la línea de escritura del chip flash y programar reinicios diarios para resolver problemas causados por fallas de firmware.
  • Experiencia con receptores satelitales: Como hacía con los receptores satelitales hace 20 años, todos los dispositivos conectados a internet deberían considerarse vulnerables a medidas electrónicas.
  • Monitoreo de actualizaciones: Hace falta un sistema que supervise las actualizaciones del equipo y avise cuando ocurra una.
  • Faltan detalles en el artículo: Al artículo le faltan detalles interesantes. Se pregunta si el router trae puertos y servicios abiertos por defecto.
  • Comparación de firmware: Se pregunta si es posible comparar distintas versiones del firmware.
  • Uso de OpenWrt: Parece que la mayoría de la gente está usando OpenWrt y el SDK del proveedor.
  • Sospecha de actualización maliciosa: Sospecha que el proveedor envió una actualización maliciosa o dañada.
  • Falta de declaración oficial del ISP: Se pregunta por qué no hay una declaración oficial del ISP. Si fue un ataque, hace falta una investigación.
  • Cómo se maneja en EE. UU.: Se pregunta cómo se maneja este tipo de problema en Estados Unidos.
  • Posible infección por bot: Existe la posibilidad de que la máquina se haya infectado con un bot y que el proveedor haya distribuido una actualización que arruinó todo.
  • Necesidad de aviso de incidente de seguridad: Como cliente, quiere enterarse de los incidentes de seguridad.
  • Solicitud de enlace a la imagen de firmware: Pide un enlace a la imagen de firmware del dispositivo o más detalles adicionales.
  • Registros de tráfico: Se pregunta cómo Black Lotus Labs sabe, a partir de los registros de tráfico, qué comunicación hubo entre las IP.
  • Duda sobre la seguridad de Tor: Se pregunta si la seguridad de Tor realmente es confiable.
  • Caja x86 y OpenWrt: Prefiere comprar una pequeña caja x86 con NIC dual y ejecutar OpenWrt. Es open source, tiene mucho soporte, buena comunidad y compatibilidad con Wireguard.
  • Propuesta sobre puntos de karma en HN: Propone dar puntos de karma en HN a quienes mejoren títulos clickbait en los envíos.
  • Recomendaciones útiles del gobierno de Canadá: Enlace a recomendaciones útiles del gobierno de Canadá.
  • Puerta trasera y bug de firmware: Lo que pasa cuando se instala una puerta trasera en 600 mil routers y se introduce un bug de firmware.
  • Despliegue gradual de actualizaciones: Se pregunta si no se pueden desplegar las actualizaciones de forma gradual.
  • Significado del título del artículo: Se pregunta qué significa el título del artículo.
  • Título confuso: Para quienes encontraron confuso el título, se trata de la destrucción de 600 mil routers individuales.
  • Artículo relacionado: Enlace a un artículo relacionado de Ars Technica.