Se ha descubierto una nueva amenaza multiplataforma llamada NKAbuse, que utiliza un protocolo de conectividad de red descentralizado y peer-to-peer conocido como NKN (abreviatura de New Kind of Network) como canal de comunicaciones.
«El malware utiliza la tecnología NKN para el intercambio de datos entre pares, funcionando como un potente implante, y equipado con capacidades de inundación y puerta trasera», dijo la empresa de ciberseguridad rusa Kaspersky en un informe publicado el jueves.
NKN, que cuenta con más de 62,000 nodos, es descripto como una «red de superposición de software construida sobre la Internet actual que permite a los usuarios compartir ancho de banda no utilizado y ganar recompensas de tokens.» Incorpora una capa de blockchain en la parte superior de la pila TCP/IP existente.
Aunque los actores de amenazas son conocidos por aprovechar los protocolos de comunicación emergentes para fines de comando y control (C2) y evadir la detección, NKAbuse aprovecha la tecnología blockchain para realizar ataques de denegación de servicio distribuidos (DDoS) y funcionar como implante dentro de sistemas comprometidos.
Específicamente, utiliza el protocolo para hablar con el bot master y recibir/enviar comandos. El malware está implementado en el lenguaje de programación Go, y las pruebas indican que se utiliza principalmente para atacar sistemas Linux, incluidos dispositivos IoT, en Colombia, México y Vietnam.
Actualmente, no se sabe cuán extendidos son los ataques, pero una instancia identificada por Kaspersky implica la explotación de una vulnerabilidad crítica de seguridad de seis años en Apache Struts (CVE-2017-5638, puntuación CVSS: 10.0) para comprometer a una compañía financiera no identificada.
Una vez que se logra la explotación exitosa, se entrega un script inicial de shell que se encarga de descargar el implante desde un servidor remoto, pero no antes de verificar el sistema operativo del host objetivo. El servidor que aloja el malware alberga ocho versiones diferentes de NKAbuse para admitir varias arquitecturas de CPU: i386, arm64, arm, amd64, mips, mipsel, mips64 y mips64el.
Otro aspecto notable es la falta de un mecanismo de autoreplicación, lo que significa que el malware necesita ser entregado a un objetivo por otro medio de acceso inicial, como a través de la explotación de fallas de seguridad.
«NKAbuse utiliza trabajos cron para sobrevivir a los reinicios», dijo Kaspersky. «Para lograr esto, necesita ser root. Verifica que la ID de usuario actual sea 0 y, de ser así, procede a analizar la crontab actual, agregándose a sí mismo para cada reinicio».
NKAbuse también incorpora una variedad de funciones de puerta trasera que le permiten enviar periódicamente un mensaje de latido al bot master, que contiene información sobre el sistema, capturar capturas de pantalla de la pantalla actual, realizar operaciones de archivos y ejecutar comandos del sistema.
«Este implante en particular parece haber sido meticulosamente elaborado para la integración en una botnet, pero puede adaptarse a funcionar como una puerta trasera en un host específico», dijo Kaspersky. «Además, su uso de la tecnología blockchain asegura tanto la confiabilidad como el anonimato, lo que indica el potencial de esta botnet para expandirse constantemente con el tiempo, aparentemente sin un controlador central identificable».
«Estamos sorprendidos de ver que NKN se usa de esta manera», dijo Zheng «Bruce» Li, cofundador de NKN, a este medio. «Construimos NKN para proporcionar una verdadera comunicación peer-to-peer que sea segura, privada, descentralizada y masivamente escalable. Estamos tratando de aprender más sobre el informe para ver si juntos podemos hacer que Internet sea seguro y neutral».
