Esta
no es
la primera vez que abordamos el tema de la vulnerabilidad en los enrutadores de red, pero los estudios del grupo Bad Packets e Ixia (
noticias ,
informe Bad Packets
, informe Ixia) son interesantes porque proporcionan una imagen casi completa: cómo se rompen los enrutadores, qué configuraciones cambian y qué entonces pasa.
Tales ataques no tienen elementos técnicamente complejos, y el objetivo de los atacantes es simple: ganar dinero con la publicidad y, si es posible, robar contraseñas para acceder a los sistemas bancarios y servicios de Internet pagados. En resumen: los atacantes escanearon la red para buscar enrutadores vulnerables (en su mayoría nuevos modelos D-Link). Habiendo descubierto dicho enrutador, cambiaron los registros DNS en él, redirigiendo el tráfico a sus propios servidores. En este caso, se utilizaron vulnerabilidades triviales, el acceso a la configuración de dispositivos sin parches se produjo sin autorización. Los dispositivos más antiguos en la lista de objetivos tienen más de 10 años, pero a pesar de esto, en teoría, los ciberdelincuentes podrían atacar a más de 15 mil víctimas.
Los expertos de Bad Packets registraron tres ataques con signos comunes a fines de diciembre del año pasado, así como en febrero y finales de marzo de 2019. En todos los casos, el servicio Google Cloud Platform se utilizó para la primera etapa del ataque: se creó un servidor virtual que hizo "sonar" los dispositivos de red.
El escaneo tenía como objetivo encontrar dispositivos con vulnerabilidades conocidas, principalmente estos no eran los enrutadores más modernos producidos por D-Link. Más tarde, utilizando el servicio
BinaryEdge , que recopila información sobre los parámetros de los dispositivos de red, fue posible estimar cuántos dispositivos eran, en principio, vulnerables a dicho ataque. De una docena de modelos que fueron atacados con precisión durante esta campaña, solo uno registró varios miles de "hits".
Este es el
enrutador ADSL D-Link
DSL-2640B . Ethernet de un megabit, soporte para WiFi 802.11g, en general, no está mal para un modelo que ha estado disponible desde 2007. Otros modelos (por ejemplo, D-Link 2740R, 526B y otros, solo alrededor de una docena de versiones), si fueron beneficiosos para los atacantes, a pequeña escala, solo hay unos pocos cientos de tales dispositivos en la red.
En 2012, se descubrió que el modelo 2640B era una
vulnerabilidad tradicional para los dispositivos de red: si obliga a un usuario a iniciar sesión en la interfaz web del enrutador para hacer clic en un enlace preparado, puede obtener el control sobre el dispositivo. Y en 2017, se descubrió un problema más grave en el mismo enrutador: resultó que es posible reemplazar los registros del servidor DNS
sin autorización . Naturalmente, si la interfaz web del enrutador es accesible desde el exterior, lo que no debería suceder en condiciones normales.
Las consecuencias de la suplantación de identidad del servidor DNS son obvias: los atacantes pueden reemplazar los anuncios publicitarios con los suyos, mostrar a los usuarios sitios falsos en la dirección "correcta" y atacar directamente a las computadoras conectadas al enrutador utilizando malware.
Ixia descubrió qué sucede exactamente con el enrutador atacado. Se hizo así: en un sistema de prueba, se instaló un servidor malicioso como servidor DNS, luego se ejecutó una lista de 10 mil nombres de dominio de los sitios más populares (según la versión del servicio Alexa). Era necesario averiguar para qué dominios el servidor DNS falso intentaba llevar a las víctimas a sus propias versiones de sitios. La suplantación de identidad del sitio se registró para cuatro servicios globales: Paypal, GMail, Uber y Netflix. Otros dominios (más de diez en total) fueron servicios locales de bancos y proveedores de redes en Brasil.
Una copia del servicio bancario parece confiable, solo la falta de conexión HTTPS indica que es falsa. Aparentemente, los atacantes no lograron preparar algunas de las redirecciones correctamente: en lugar del sitio
cetelem.com , por ejemplo, se mostró el código auxiliar estándar del servidor web Apache. En el caso de un ataque específico en marzo de este año, tanto los sitios web falsos como el servidor DNS en sí también se alojaron en la plataforma en la nube de Google. En respuesta a una solicitud del
sitio web de
Arstechnica , Google dijo que los servicios maliciosos fueron bloqueados y se tomaron medidas para bloquear automáticamente tales operaciones en el futuro. Sin embargo, esto no se trata de Google: otras olas de ataque utilizaron servidores en Canadá y Rusia.
En general, en este caso particular no estamos hablando de un ataque a gran escala. Derrota dispositivos que tienen muchos años, con vulnerabilidades conocidas desde hace mucho tiempo, y que por alguna razón (configuración errónea, configuración predeterminada insegura) básicamente le permiten abrir la interfaz web al acceder desde Internet, y no solo desde la red local. En este caso, apenas vale la pena esperar un parche para firmware antiguo, es más fácil de actualizar. ¿Por qué los atacantes incluso atacan tan pocos tipos de dispositivos? Es bastante simple y rentable.
Los ataques a gran escala con falsificación de DNS se han registrado durante los últimos diez años, hubo métodos más creativos, como
atacar enrutadores con una aplicación maliciosa, después de conectarse a Wi-Fi. Luego, hay muchos métodos para tomar dinero deshonesto: phishing seguido de la reventa de contraseñas en el mercado negro (las cuentas de servicio pagadas recientemente para la transmisión de música y video se han convertido en un producto básico), el robo directo de fondos a través de servicios bancarios y de pago, y la propagación de malware. En Brasil, tales ataques adquirieron el carácter de una
epidemia , con cientos de miles de dispositivos atacados contando. Así que hoy nos enfrentamos a un episodio bastante bien documentado, pero pequeño, de la vibrante actividad del cibercriminal.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.