Hace pocos días, Black Lotus Labs dio a conocer, mediante un informe reciente, detalles sobre una vulnerabilidad que dejo inservibles más de 600,000 routers para oficinas pequeñas y domésticas.

Y es que durante un período de 72 horas (entre el 25 y 27 de octubre de 2023) más de 600,000 routers fueron inhabilitados por un troyano de acceso remoto (RAT) conocido como «Chalubo». Este evento, que tuvo lugar, resultó en la inoperabilidad permanente de los dispositivos infectados y la necesidad de su reemplazo físico.

Sobre el incidente

Black Lotus Labs informa en su publicación que el ataque se llevó a cabo utilizando el malware Chalubo, conocido desde 2018, organiza el control centralizado de la botnet y se utiliza en dispositivos Linux basados en arquitecturas ARM, x86, x86_64, MIPS, MIPSEL y PowerPC de 32 y 64 bits.

El malware Chalubo implica tres etapas de implementación:

1. Inicio del Script Bash:
   • Tras la explotación de una vulnerabilidad o el uso de credenciales comprometidas, un script bash se ejecuta en el dispositivo comprometido.
   • Este script verifica la presencia del archivo ejecutable malicioso /usr/bin/usb2rci. Si el archivo no está presente, el script desactiva los filtros de paquetes con iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
2. Evaluación del Script get_scrpc:
   • El script get_scrpc evalúa la suma de comprobación MD5 del archivo usb2rci.
   • Si la suma de comprobación no coincide con un valor predefinido, el script carga y ejecuta un segundo script, get_fwuueicj.
3. Ejecución del Script get_fwuueicj:
   • Este script comprueba la presencia del archivo /tmp/.adiisu. Si está ausente, lo crea.
   • Luego, carga el archivo ejecutable principal del malware, compilado para la CPU MIPS R3000, en el directorio /tmp con el nombre crrs y lo inicia.

Nuestro análisis identificó a «Chalubo», un troyano de acceso remoto (RAT), como la principal carga útil responsable del evento. Este troyano, identificado por primera vez en 2018 , empleó técnicas inteligentes para ocultar su actividad; eliminó todos los archivos del disco para ejecutarlos en la memoria, asumió un nombre de proceso aleatorio ya presente en el dispositivo y cifró todas las comunicaciones con el servidor de comando y control (C2)

En cuanto al comportamiento de Chalubo, se menciona que este realiza la:

• Recopilación y envío de información: El ejecutable de Chalubo recoge la información del host, como la dirección MAC, ID del dispositivo, versión de software y direcciones IP locales, y la envía a un servidor externo.
• Descarga y ejecución del componente Principal: Chalubo verifica la disponibilidad de los servidores de control y descarga el componente principal del malware, que es descifrado utilizando el cifrado de flujo ChaCha20.
• Ejecución de scripts lua: El componente principal puede descargar y ejecutar scripts Lua arbitrarios desde el servidor de control, determinando las acciones futuras del dispositivo, como participar en ataques DDoS.

Como tal no hay información concreta sobre cómo se comprometieron exactamente los dispositivos para instalar el malware y sobre ello los investigadores suponen que el acceso a los dispositivos podría haberse obtenido debido a credenciales no confiables proporcionadas por el proveedor, el uso de una contraseña genérica para ingresar a la interfaz de administración, o la explotación de vulnerabilidades desconocidas. Ya que los atacantes con acceso a los servidores de control de la botnet, probablemente aprovecharon la capacidad de Chalubo para ejecutar scripts Lua, sobrescribiendo el firmware del dispositivo y desactivándolo.

Ademas de ello, Black Lotus Labs discute cómo este ataque tuvo consecuencias significativas, incluida la necesidad de reemplazar equipos de hardware, especialmente en áreas rurales y marginadas, ya que un análisis de la red tras el incidente reveló que 179 mil dispositivos ActionTec (T3200 y T3260) y 480 mil dispositivos Sagemcom (F5380) fueron reemplazados por equipos de otro fabricante.

Este incidente es notable no solo por la magnitud del ataque, sino también porque, a pesar de la prevalencia del malware Chalubo (con más de 330,000 IP registradas accediendo a servidores de control a principios de 2024), las acciones maliciosas se limitaron a un solo proveedor, sugiriendo un ataque muy específico.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.