Investigadores de la compañía de telecomunicaciones Lumen Technologies han informado sobre un “evento destructivo” protagonizado por el troyano de acceso remoto (RAT) Chalubo, que logró inutilizar más de 600.000 routers de pequeñas oficinas en un margen de 72 horas, obligando a su reemplazo.
El ataque identificado se llevó a cabo entre el 25 y el 27 de octubre de 2023 y dejó a los dispositivos infectados permanentemente y, por tanto, inoperables. Asimismo, los routers afectados estaban ubicados en Estados Unidos, bajo un solo proveedor de servicios de internet (ISP).
Así lo ha detallado el informe publicado por los investigadores del equipo de ciberseguridad Black Lotus Labs (propiedad de Lumen Technologies), en el que han mostrado el análisis realizado para identificar el ataque malicioso, sus posibles orígenes y sus consecuencias, ya que dejó a cientos de miles de usuarios sin conexión a internet.
En concreto, los investigadores han confirmado que se inutilizaron un total de 659.000 routers, de los cuales 179.000 pertenecían a la marca ActionTec y los 480.000 restantes de la firma Sagemcom. Asimismo, su análisis identificó el uso del troyano de acceso remoto, conocido como Chalubo, como la principal herramienta utilizada por los ciberdelincuentes.
Este RAT, que fue identificado por primera vez en 2018, es capaz de emplear técnicas inteligentes para ocultar su actividad, incluso eliminar todos los archivos de un disco y cifrar todas las comunicaciones con el servidor de comando y control (C2).
Además, en este caso los investigadores también han encontrado cargas útiles en Chalubo diseñadas para realizar ataques de denegación de servicio distribuido (DDoS), con lo que se consigue saturar los dispositivos desbordando la capacidad de administrar solicitudes y, de esta forma, evitar que el sistema funcione correctamente.
No obstante, aunque por el momento no se ha podido determinar el creador del ciberataque y ningún grupo de actividad conocido ha asumido la autoría, desde Black Lotus Labs apuntan a que ha sido una operación coordinada y deliberada destinada a causar una interrupción. Así, han concluido que el evento fue realizado por un actor cibernético malicioso no atribuido.
Con todo ello, los investigadores de Black Lotus Labs han subrayado que se trata de un ataque “sin precedentes” debido a la rapidez de acción y a la cantidad de unidades afectadas que, además, requirió el reemplazo de hardware de todas ellas.
Por tanto, señalaron que continuarán colaborando con la comunidad de investigación de seguridad para compartir nuevos hallazgos relacionados con este ciberataque y, de esta forma, garantizar que los usuarios estén informados.
Detectan delicada amenaza oculta que está atacando teléfonos Android
Microsoft ha advertido sobre un patrón de vulnerabilidad asociado a varias aplicaciones populares de Android que cuentan con más de 4.000 millones de instalaciones en dispositivos, con el que los ciberdelincuentes pueden conseguir que una aplicación maliciosa ejecute código arbitrario malicioso y robe tókenes con información de inicio de sesión.
Así lo ha compartido la compañía tecnológica en el marco de una investigación desarrollada por el equipo de inteligencia de amenazas de Microsoft, donde ha dado a conocer esta vulnerabilidad a la que se han referido como Dirty Stream (corriente sucia).
En concreto, la vulnerabilidad identificada permite que, con la ejecución de código arbitrario, los actores maliciosos puedan obtener el control total sobre el comportamiento de la aplicación. Por su parte, el robo de tókenes puede proporcionar a los ciberdelincuentes acceso a las cuentas y a los datos confidenciales del usuario.
Según han explicado en un comunicado en su blog de ciberseguridad, esta vulnerabilidad afecta a aplicaciones populares de Android disponibles Google Play Store, que actualmente disponen de más de 4.000 millones de instalaciones en dispositivos Android.
En este sentido, los investigadores comenzaron a compartir la información encontrada sobre la vulnerabilidad con los desarrolladores de las aplicaciones afectadas en febrero de este año. Desde ese momento, los desarrolladores comenzaron a implementar correcciones mediante actualizaciones, de cara a mitigar este fallo.
Ahora, tras identificar que más aplicaciones pueden verse afectadas, Microsoft subrayó su intención de aumentar la conciencia sobre el problema y ofrecer orientación para ayudar a evitar que los desarrolladores introduzcan este patrón de vulnerabilidad en sus aplicaciones Android de Google.
*Con información de Europa Press.