Hackers emplean poderoso rootkit para instalar un backdoor en sistemas Windows vulnerables

Un grupo de hackers maliciosos no autenticados fue visto empleando un rootkit para sistemas Windows con el fin de instalar backdoors en sistemas vulnerables de forma inadvertida. Esta campaña maliciosa, identificada como Operación TunnelSnake, es presuntamente operada por actores de amenazas chinos con avanzados conocimientos y recursos de hacking.

Como muchos usuarios sabrán, el término rootkit se refiere a un conjunto de herramientas diseñadas para operar de forma sigilosa en los niveles más profundos del sistema operativo afectado. Existen múltiples variantes de rootkit, desde malware para comprometer el kernel hasta poderosos exploits para atacar el firmware o la memoria de los sistemas comprometidos.

Este rootkit fue descubierto por los especialistas de la firma de seguridad Kaspersky, quienes mencionan que los hackers lo usan para implementar un backdoor pasivo en servidores públicos. Una vez instalado, el backdoor establece una conexión con un servidor C&C de los hackers para acciones maliciosas posteriores. El ataque permite a los hackers monitorear el tráfico de red entrante y saliente, que pasa a través de una máquina infectada y filtra los paquetes enviados por el rootkit.

La inspección de paquetes se realiza en modo kernel con la ayuda de un controlador de Windows. El rootkit también espera el tráfico entrante para ocultar la comunicación con el C&C y erradicar la necesidad de establecer una comunicación directa: “Esto forma un canal encubierto a través del cual los hackers pueden emitir comandos de shell y recibir sus resultados”, señala el reporte de Kaspersky.

Sobre la identidad de los hackers, los especialistas sospechan que este grupo de atacantes son de habla china y podrían tener relación con otros grupos de amenazas respaldados por China, incluyendo Termite, Earthworm y China Chopper.

A pesar de que este rootkit fue visto múltiples ocasiones entre octubre de 2019 y mayo de 2020, los investigadores sospechan que este grupo podría haber estado activo al menos desde mediados de 2018. Finalmente, los investigadores concluyen mencionando que los registros indican solo una decena de ataques exitosos con este rootkit, por lo que el riesgo no se considera extendido de forma masiva.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).