01 Oct Routers en el punto de mira
No solo nuestros dispositivos móviles u ordenadores personales con conexión a Internet están expuestos a ciberataques de distinta índole. También nuestros routers domésticos podrían comprometer nuestra seguridad y privacidad, debido a vulnerabilidades, mala configuración o contraseñas de acceso por defecto o demasiado débiles, riesgos que se ven potenciados por su habitual exposición a Internet salvo que se tomen las medidas oportunas para desactivar su acceso público o desconectarlos. Esto unido a la enorme cantidad de dispositivos y variedad de fabricantes convierten a los routers domésticos en objetivos de alto interés para los cibercriminales.
Recientemente, en este mes de septiembre se ha reportado un caso en el cual una vulnerabilidad en el protocolo UPNP
de determinados routers expone la LAN a ciberataques: http://securityaffairs.co/wordpress/39787/hacking/filet-o-firewall-flaw.html.Durante estos últimos meses y gracias al uso de plataforma de monitorización y los sensores desplegados en INCIBE se han detectado multitud de ataques cuyo objetivo se centra en routers domésticos, suministrados por distintos ISP (entre ellos de algunos españoles).
A continuación describimos el comportamiento de los ataques observados que iban dirigidos principalmente, contra routers domésticos.
Ataques contra servicio SSH
Durante el pasado mes de agosto se detectaron ataques cuyo principal objetivo son routers Linux con arquitectura ARM, x86, MIPSEL y MIPS, con el servicio SSH expuesto a internet y con credenciales débiles.
Nuestros sensores han detectado un total de 104 ataques procedentes de 38 orígenes distintos, entre ellos España. Entre los países de destino del ataque también está España además de un amplio espectro de países resultado de un escaneo a nivel global.
– Datos estadísticos de países originarios de ataques SSH contra routers domésticos –
Todos estos ataques siguen el mismo patrón: un host previamente infectado realiza un ataque de fuerza bruta con las siguientes credenciales:
- root/root
- admin/admin
- ubnt/ubnt
El listado de hosts a atacar es generado de forma aleatoria dentro de un rango determinado por la máquina atacante y mediante el protocolo SSH se intenta conectar con las credenciales indicadas. Por ejemplo, uno de los listados de objetivos detectados se encuentra en el segmento de red 179.143.0.0/16 (gestionado por el ISP brasileño NEXTEL):
– Muestra de un rango aleatorio para escanear –
Paralelamente, además del escaneo, se realizan diferentes resoluciones DNS:
– Resoluciones DNS solicitadas por el malware –
En el caso de que el atacante consiga acceso a la máquina atacada utilizando las credenciales de prueba, descargará ficheros y los ejecuta. Previamente comprueba la arquitectura de la máquina y dependiendo de la misma, descarga un fichero u otro.
– Comandos ejecutados por el malware para determinar la versión del sistema –
Tras comprobar el tipo y versión de sistema operativo y una vez descargado el fichero apropiado para el equipo comprometido, éste comienza a realizar las mismas actividades que el atacante que le infectó.
Periódicamente, el equipo infectado vuelve a realizar un ataque sobre el listado de hosts y si éstos han sido desinfectados, intenta de nuevo atacarlos y volver a infectar.
Estos equipos pasan a formar parte de un grupo de routers que son utilizados para la descarga y ejecución de otros tipos de malware y con distintas finalidades, como ataques DDOS.
Algunas compañías antivirus tienen catalogado este tipo de malware. Puede obtenerse una descripción detallada en el siguiente enlace: http://vms.drweb-av.es/virus/?i=7299536.
Ataques contra servicios Telnet
Nuestros sensores han detectado un incremento en la búsqueda de servicios TELNET vulnerables. En solo 48 horas se detectaron un total de 5288 intentos de acceso, de los cuales 182, consiguen acceso con credenciales por defecto y realizan descarga de malware en el equipo atacado. Se obtuvieron un total de 35 direcciones IP atacantes únicas contra este servicio.
Hay que destacar el hecho de que las IP atacantes corresponden a routers domésticos que pertenecen a distintos proveedores de varios países, que presentan acceso al panel de control desde internet y con las credenciales por defecto o incluso sin autenticación necesaria para el acceso.
El malware, en esta ocasión descarga múltiples muestras compiladas para diferentes arquitecturas y ejecuta todas ellas, sin comprobar la arquitectura del router.
– El malware descarga y prueba diferentes ficheros maliciosos precompilados en distintas arquitecturas –
El equipo infectado tras verificar que tiene conectividad a internet inicia ataques contra una gran cantidad de hosts:
– Pruebas y ataques sobre distintos objetivos –
El router doméstico infectado es controlado por un centro de Comando y Control (C&C), al que envía comandos para realizar distintas acciones maliciosas:
– Muestra de comunicación entre un host infectado y su C&C. Obsérvense los comandos –
Como puede observarse, la distribución geográfica cubre una amplia extensión a nivel global:
– Orígenes de IP atacantes –
Modelos de comportamiento, tipos de routers comprometidos y resultados
Algunas de las operaciones y comandos ejecutados son los siguientes:
– Muestra de comandos ejecutados y acciones realizadas por el malware –
Los tipos de routers comprometidos son variados y de distintos fabricantes. Entre los detectados están, entre otros los siguientes modelos:
- NUCOM
- ULUSNET_WIMAX_CPE
- Zyxel P-2612HNU-F
- Dlink DSL-2750U
- DD-WRT
- AirOS
Algunos de los paneles de control expuestos son los siguientes:
– Router Zyxel –
– Router NuCom –
– Panel de control de un router domestico de uso común en Brasil –
El análisis antivirus de la muestra más descargada en los ataques arroja el siguiente resultado:
– Análisis obtenido de Virus Total –
En cuanto a la información recopilada, tenemos las siguientes cifras sobre la distribución de atacantes:
– Datos estadísticos obtenidos de las muestras recogidas: Orígenes de IP atacantes –
Como puede observarse, el origen de los ataques contra routers domésticos españoles no solo se origina desde fuera de España, sino que también se origina desde routers comprometidos ubicados en España. El origen de descarga del malware es, en la mayor parte de los casos, de EEUU.
Los sistemas autónomos o ASN, responsables de determinados rangos de IPs a los que pertenecen los ataques son:
– Lista de ASN responsables de IP afectadas –
La lista de usuarios y contraseñas empleada para los intentos de acceso es:
– Lista de usuarios y contraseñas utilizadas en el ataque –
Seguridad por defecto, problema seguro
Una vez más el éxito de estas campañas está asegurado por las malas prácticas por parte de fabricantes y usuarios al no prestar una atención suficiente a la seguridad de los dispositivos con acceso a internet. Como siempre, desde INCIBE recomendamos asegurar todos nuestros dispositivos con conectividad de red incluyendo nuestros routers domésticos, generalmente olvidados. Para ello algunas buenas prácticas a realizar pasan por el uso de contraseñas robustas y no exponer servicios en internet si no es estrictamente necesario eliminando de este modo un importante y ampliamente explotado vector de ataque.
Fuente: INCIBE