Ciberatacantes aprovechan QEMU para crear túneles de red sigilosos
En los últimos tiempos, se han descubierto actores maliciosos que utilizan técnicas innovadoras para infiltrarse en sistemas y redes. Una de ellas consiste en abusar del emulador de hardware de código abierto Q EMU como herramienta de tunelización durante los ciberataques. Los actores de la amenaza crearon interfaces de red virtuales y un dispositivo de red de tipo socket utilizando QEMU para facilitar la conexión a un servidor remoto. Esta táctica permitía establecer un túnel de red desde el sistema de la víctima hasta el servidor del atacante con un impacto mínimo en el rendimiento del sistema.
QEMU como herramienta de tunelización
Los investigadores de Kaspersky Grigory Sablin, Alexander Rodchenko y Kirill Magaskin arrojan luz sobre esta tendencia emergente, revelador cómo los actores de amenazas han capitalizado las características de QEMU para establecer canales de comunicación encubiertos dentro de las redes objetivo. Utilizando el -netdev
para crear dispositivos de red, los adversarios pueden establecer conexiones entre máquinas virtuales, eludiendo de forma eficaz las medidas de seguridad tradicionales.
La tunelización de redes es la técnica utilizada para encapsular y transferir paquetes de datos entre dos extremos de la red, normalmente a través de una red intermediaria que puede no soportar el protocolo original utilizado. Al crear un "túnel" virtual dentro de la arquitectura de red existente, los datos pueden atravesar la red intermediaria de forma privada y segura.
El equipo de Kaspersky mencionó que fueron capaces de crear un túnel de red entre un host pivote que está conectado a Internet y un host interno que no está conectado a Internet dentro de la red de la empresa. Desde allí, el túnel continúa hasta el servidor en la nube del atacante, que ejecuta el emulador QEMU. Debido a esta arquitectura encubierta, los actores de amenazas pueden ocultar su actividad dañina dentro del tráfico legítimo de la red, lo que supone un reto difícil de detectar y mitigar para los especialistas en ciberseguridad.
Según Kaspersky, las herramientas de creación de túneles más utilizadas por los hackers son FRP y ngrok, con un 10% del total de ataques en los últimos tres años. Otras herramientas utilizadas para crear túneles son CloudFlare tunnels, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox y nps. Sin embargo, con QEMU, los atacantes optaron por un enfoque menos convencional para crear túneles de red, priorizando el sigilo sobre el cifrado del tráfico.
Conclusión
La idea de utilizar herramientas fiables con fines maliciosos no es nueva en el campo de la ciberseguridad. Por otra parte, el uso de QEMU como programa de tunelización indica un avance significativo en la complejidad de los ciberataques. Así pues, las organizaciones deben seguir vigilantes y proactivas a la hora de reforzar sus defensas contra vectores de ataque en constante evolución.
Para proteger sus sistemas de virtualización basados en QEMU, puede utilizar la solución de parcheado en vivo QEMUCare, que puede parchear automáticamente sus infraestructuras sin necesidad de reiniciar o migrar las máquinas virtuales.
Las fuentes de este artículo incluyen un artículo de BleepingComputer.