Icono del sitio SpamLoco

Millones de routers comprometidos remotamente en Brasil por vulnerabilidad en firmware

Generalmente el router es un aparato al cual la mayoría de los usuarios no le prestan mayor atención, se configuran una vez y mientras funcionen está todo bien. Sin embargo, pueden ser el objetivo de ataques y llegar a comprometer a toda una red de equipos sin importar el sistema operativo que utilicen.

Algo así sucedió en Brasil durante 2011 donde 4.5 millones de usuarios se vieron comprometidos por diversos ataques que aprovechaban una vulnerabilidad en el firmware de los routers ADSL más populares del país.

Los ciberdelincuentes escaneaban rangos de IPs en busca de routers expuestos en la red, cuando se encontraban con uno lo intentaban explotar para cambiar la configuración de los DNS por otros bajo su control. De esta forma lograron infectar millones de equipos y robar información sensible cargando páginas falsas y maliciosas.

¿Qué son los DNS? Los utilizamos todo el tiempo para navegar, por ejemplo cuando accedemos a www.google.com estamos descargando desde un servidor bajo la IP 200.40.0.88 distintos elementos que cargan la página de Google.

Puedes escribir ese número en el navegador y verás que la web de Google se carga de forma normal, justamente la función de los DNS es la de asociar esos números con nombres de dominios que sean más sencillos de recordar.

Si los atacantes cambian la configuración de nuestros DNS, cuando accedamos a cualquier página como la de Google en lugar de descargar los elementos desde una IP o servidor legítimo, los estaríamos descargando desde un servidor controlado por ellos, es decir podríamos estar cargando una página falsa aunque en el navegador veamos la dirección correcta.

De hecho esto fue lo que hicieron, cuando las víctimas con sus routers comprometidos accedían a www.google.com.br cargaban sin saberlo una página falsa que ofrecía la descarga de malware:

Web falsa de Google ofreciendo una descarga

Ataques similares de ingeniería social también los hicieron con muchos otros sitios populares como facebook.com, terra.com.br, mercadolivre.com.br, entre otros. Además, cargaban páginas falsas de entidades bancarias (phishing) y realizaban ataques drive-by-download aprovechando vulnerabilidades de Java.

¿Que ganan con hacer esto?

Es una pregunta que muchos se hacen y la respuesta es muy sencilla, dinero. Además de robar tarjetas de crédito, contraseñas y otros tipos de datos, hay varias formas de obtener dinero de una computadora infectada… aunque no tengas nada importante en ella.

Fabio Assolini de Kaspersky (@assolini), el investigador que dio a conocer los detalles de esta operación en una conferencia de seguridad, mostró una conversación de chat entre varios ciberdelincuentes involucrados, uno de ellos comentaba como un miembro del grupo había gastado mas de 100 mil reales en fiestas alocadas en Río de Janeiro :D

¿Cómo evitar estos ataques remotos?

Volviendo a lo que comentaba al principio, es importante mantener el firmware de los routers actualizado. Este simplemente es un programa que se encuentra en la memoria de los dispositivos y permite controlarlos, generalmente desde la web del fabricante se pueden descargar las últimas versiones.

Hace algún tiempo comenté una aplicación gratuita que permite explotar vulnerabilidades de las marcas mas conocidas de routers, si le pegan una ojeada verán que es muy sencilla de utilizar, pueden probarla con sus propios dispositivos.

Otras cosas que se pueden hacer para estar más seguros es activar el firewall del router, si se encuentra disponible activar la función WAN Ping Blocking para no responder pings desde internet, desactivar la administración remota del router, utilizar contraseñas fuertes (de al menos 8 caracteres, nunca las contraseñas por defecto dado que todos las conocen) y en caso de tener WiFi utilizar el cifrado WPA2 desactivando WPS si está disponible.

Más detalles de la operación:

The tale of one thousand and one DSL modems (en inglés)
– La historia de los mil y un módems DSL (en español)

Vulnerabilidad aprovechada: Comtrend ADSL Router CT-5367 C01_R12 Remote Root

Vía @kfs y Naked Security

Salir de la versión móvil