Según un reciente relevamiento de la firma de ciberseguridad Black Lotus Labs, un malware de Linux conocido como AVrecon, atacó directamente los routers de usuarios domésticos y pequeñas oficinas. Se estima que la infección podría abarcar hasta 70.000 equipos.
Según los especialistas en ciberseguridad que detectaron la operación, los atacantes buscaban infectar la mayor cantidad posible de routers con la intención de crear una botnet con dos principales funciones. El primer objetivo era robar todo el ancho de banda posible de los usuarios sin que se dieran cuenta y luego crear un servicio de proxy del que se pudieran beneficiar aprovechándose de los miles de routers hackeados.
Estas grandes cantidades de equipos comprometidos les permiten a los atacantes tener la infraestructura necesaria para, por caso, realizar ataques de descifrado de contraseña, que demandan gran capacidad de cómputo. El plan de los hackers viene operando desde al menos 2021, lo que significa que ha pasado un largo periodo de tiempo sin ser detectado. A lo largo de estos años, unos 40.000 routers de los 70 mil que han sido infectados, han pasado a formar parte de la botnet.
El mayor caudal de ataques se enfoco en los routers Netgear, específicamente, en los SOHO. Al ser equipos pensados para el entorno doméstico o en las pequeñas oficina, los atacantes conocían las vulnerabilidades y si lograban concretar las infecciones sería más fácil esparcir el malware a otras redes.
Una vez fueron infectando los dispositivos poco a poco, se ocupaban de conectar el router a una unidad externa que actuaba de centro de control y que determinaba lo que, a partir de ese momento, haría el router.
Entre otras cosas, se estima que la red proxy encubierta fue utilizada por los hackers estatales chinos para atacar a organizaciones de infraestructuras críticas en todo Estados Unidos desde al menos mediados de 2021.