Luz verde en router

Un informe sugiere que se han estado utilizando miles de routers domésticos y de oficinas infectados con malware para lanzar ataques DDoS contra diferentes objetivos durante los últimos meses. Se trata de la conclusión que ha sacado Incapsula, que comenzó a detectar las infecciones en diciembre de 2014.

Grupos de hackers atacan a través de routers Ubiquiti

Varios hackers estarían explotando routers de poca seguridad para crear una botnet o grupo de ordenadores zombi utilizados por usuarios externos con fines maliciosos.

Los investigadores habrían rastreado el tráfico malicioso hasta routers fabricados por Ubiquiti Networks y distribuidos a proveedores de Internet de todo el mundo. Los routers examinados disponían de una media de cuatro variantes de MrBlack, una herramienta DDoS de la que se encontraron 137 versiones diferentes, además de otras herramientas DDoS como DoFloo o Mayday o el famoso programa Skynet empleado por la NSA. El centro de mando y de control de los ataques se encuentra en Estados Unidos y la mayoría de routers empleados para lanzarlos son de Tailandia y Brasil (sobre el 85%). Aunque al publicar una primera versión del informe Incapsula afirmaba que el grupo Anonymous estaba implicado, ha tenido que retractarse de esa información debido a ciertos datos contradictorios.

A causa de la presencia de diferentes programas de ataque DDoS en los routers Ubiquiti hackeados, es probable que en realidad sean utilizados por varios grupos y no por uno sólo, por muy mediático que sea Anonymous, para realizar ataques por encargo.

Las credenciales por defecto, su puerta de entrada

Los routers no habrían sido hackeados a través de una vulnerabilidad del firmware sino a través de la interfaz de gestión SSH y HTTP con credenciales por defecto, directamente expuestos a Internet: una configuración segura, no permitiría acceder a la gestión de los routers desde el exterior. De hecho, en este caso se han encontrado shell scripts ejecutados en ciertos aparatos comprometidos diseñados para explorar la red en busca de otros routers con el mismo fallo de configuración.

Incapsula ha detectado 40.256 direcciones IP de 1.600 proveedores de Internet en 109 países relacionas con esta botnet. Las mayores concentraciones de infección se encuentran en Tailandia, Brasil, India y Estados Unidos. La compañía ha identificado también 60 servidores empleados por los hackers para el control de los routers, en China y en Estados Unidos.

La firma, que contactó con Ubiquiti antes de divulgar la información de los ataques, alienta a los propietarios routers de la marca a verificar que sus dispositivos no están protegidos por nombres de usuario y contraseñas por defecto y asegurarse de que han actualizado a la versión más reciente del firmware del router.

No es el primer caso de este tipo. El grupo de hackers Lizard Squad, por ejemplo, ya es famoso por tumbar servicios tan importantes como PlayStation Network o la web de Malaysia Airlines mediante ataques DDoS de este tipo en los que se aprovecha seguridad anticuada y la confusión entre nuevos y viejos protocolos.

The Man-Machine editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?