SEGURIDAD
Potente malware toma control de routers en todo el mundo
La sofisticación del código ha sido vinculada a agencias de vigilancias. Afecta a los dispositivos MikroTik.
12 marzo 2018 por Cesar Muñoz de FayerWayer
Un nuevo y potente malware ha sido descubierto por la firma de seguridad Kaspersky Lab. El código toma el control total de los MikroTik, permitiendo realizar toda clase de actividades indeseadas con los dispositivos conectados.
Fue apodado como Slingshot, y tiene un mecanismo de acción que ataca en múltiples capas. Según el reporte de Kaspersky recogido por Engadget, el malware reemplaza un archivo de la biblioteca con una versión maliciosa que descarga otros componentes. Con esta base, lanza un sofisticado ataque que obtiene el control total del dispositivo.
Existe dos lineamientos principales: Canhadr, que ejecuta un código de bajo nivel en el kernel, entregando control al intruso; y GollumApp, que se enfoca en el usuario mismo y en mantener el malware activo. Aunque Kaspersky, no ha dado mayores detalles de las vulnerabilidades de entrada que ofusca el software de administración, sí se ha referido al código como “una obra maestra”.
Los atacantes pueden robar lo que quieran: desde el tráfico de red y contraseñas, hasta las pulsaciones del teclado o la pantalla de un ordenador. Lo destructivo del ataque, ha llevado a pensar a la firma de seguridad que podría tratarse de una creación propia de alguna agencia de inteligencia y espionaje.
Slingshot ya ha tomado el control de numerosos dispositivos en Afganistán, Iraq, Jordania, Kenia, Libia y Turquía (aunque el alcance puede aplicarse globalmente), y ha comprometido información de instituciones gubernamentales. Desde Kaspersky no han escatimado en señalar que sus sospechas a puntan a un país de habla inglesa, teniendo a EE. UU. y Reino Unido entre los sospechosos.
El ataque Slingshot ya ha sido abordado y las últimas actualizaciones de los routers MikroTik debiesen venir con la vulnerabilidad parchada.