Hackeo Linux

500 ms de lag: la clave que permitió descubrir a un hacker que llevaba años planeando un ataque en Linux

Cada vez son más habituales ver intentos de accesos indebidos a servicios y sistemas operativos, como Windows o Linux, por parte de hackers, quienes utilizan técnicas como el ransomware o el phishing, o incluso aprovechan las vulnerabilidades que aún no han sido descubiertas y corregidas por las compañías. Afortunadamente, empresas como Apple, Google o Microsoft trabajan constantemente para evitar que estos acaben surtiendo efecto, pues, en la mayoría de casos, tienen como objetivo robar la información personal de los usuarios, tales como contraseñas, cuentas bancarias, direcciones y más. 

Uno de los ejemplos más recientes es el de un hacker que ha estado dos años planeando un ataque que afectaría gravemente a Linux, el popular sistema operativo de código abierto. Y que, afortunadamente, un ingeniero de Microsoft ha podido evitar tras descubrir un cambio prácticamente impredecible para cualquier usuario.

El hacker, en concreto, buscaba acceder a las principales distribuciones de Linux mediante un backdoor. Se trata de una especie de puerta trasera con la que los atacantes pueden acceder a diferentes servicios. El hacker llegó a atacar hasta en dos ocasiones con código malicioso la herramienta de compresión sin pérdida bautizada como XZ Utils (y anteriormente llamada LZMA Utils). Con esto, el atacante conseguiría esquivar la autenticación SSH y así tener un control en remoto en todo el sistema.

¿Cómo consiguieron implementar código malicioso en XZ Utils? Según comenta Kevin Beaumont a través de su blog sobre ciberseguridad, el atacante, que actuaba bajo el usuario “JiaT75”, se ofreció en 2021 a hacerse cargo de la mencionada herramienta, y consiguió que el actual administrador le delegase la labor. No fue hasta 2023 cuando el hacker comenzó a implantar la puerta trasera en Linux para llevar a cabo suobjetivo.

Así descubrió un empleado de Microsoft la puerta trasera en Linux

innovación Teclados de Microsoft

Los esfuerzos del hacker no sirvieron para nada gracias a Andres Freund, un ingeniero de Microsoft. Este, mientras estaba haciendo un micro-benchmarking, vio un pico de 500 ms de lag; algo inusual, pero también imperceptible para la mayoría de usuarios. De hecho, esta podría haber sido la única forma de detectar la puerta trasera, pues el atacante usó en Linux un cargador de cinco etapas para evitar ser rastreado.

Las primeras investigaciones revelan que la puerta trasera se encuentran en las versiones 5.6 y 5.6.1 de la herramienta XZ Utils. También en la biblioteca liblmza de Linux. Por otro lado, el ataque estaba destinado a aquellos equipos basados en AMD64 (Intel x86 de 64 bits) que ejecutan glibc, la biblioteca de C de GNU, utilizando distribuciones derivadas de Debian o Red Hat.

https://x.com/vxunderground/status/1774071339671794134?s=20

De hecho, Red Hat, uno de los mayores proveedores de soluciones de código abierto, y que también trabajan con Linux, se ha hecho eco de esta puerta trasera. Ha insistido a sus usuarios a no actualizar a las mencionadas versiones hasta que la vulnerabilidad esté parcheada. En el caso de que se haya actualizado, la compañía recomienda volver a la versión anterior.

En un comunicado, Red Hat destaca que “no se ha demostrado que las compilaciones de Fedora Linux 40 estén comprometidas”. Aun así, recomienda cambiar a una versión 5.4 “para estar seguros”. Esta versión estará disponible de nuevo para los usuarios de Fedora Linux 40 a través del sistema de actualización estándar.

De no ser descubierta, podría haber sido una catástrofe

Varios investigadores coinciden en que, de no ser descubierta y si hubiese sido explorada activamente, esta puerta trasera habría supuesto prácticamente una catástrofe. Uno de ellos; Damien Miller, ha destacó que ningún sistema se dio cuenta de esta vulnerabilidad. “Eso no es aceptable cuando el acceso no autorizado a prácticamente todos los servidores de internet está sobre la mesa. Necesitamos encontrar una manera de hacerlo mejor”, ha destacado.

Miller advierte, además, que este no será el único ataque sofisticado a la cadena de suministro de OSS. “Los actores detrás de xz probablemente ya estén aprendiendo la lección antes de su próximo intento. De hecho, es posible que xz no sea el único ataque que tenían en curso”.

RELACIONADOS