16.000 routers en España en peligro de "apagarse" por un ataque

12/08/2016
Publicat a: El Confidencial

Ha sucedido en Alemania, ha sucedido en Gran Bretaña y podría suceder en España donde 16.000 routers tienen un problema que los convierte en fáciles candidatos a ser atacados y quedarse sus dueños sin Internet. La mayoría, casi 11.000, pertenecen a clientes de Jazz Telecom, que lo considera "un riesgo muy pequeño".

Dos traviesos ciberdelincuentes andan "liándola parda" en la Internet europea en los últimos días. Son BestBuy y Popopret, autores confesos de un ataque que el 27 de noviembre dejó a 900.000 personas en Alemania, clientes de Deutsche Telekom, sin Internet ni televisión (http://www.elconfidencial.com/tecnologia/2016-11-29/routers-wifi-internet-ciberataque_1296938/). Dos días después, repitieron la hazaña, afectando a más de 100.000 personas en Gran Bretaña (http://www.bbc.com/news/technology-38167453), del ISP Talk Talk, el Servicio Postal Británico y la cadena KCOM.

Todos usaban routers de la marca Zyxel y D-Link con un importante agujero de seguridad que sólo se ha solucionado en los países atacados. En el resto, como España, estos routers siguen abiertos a merced de los delincuentes. Lo muestra una consulta en el buscador Shodan: 16.000 routers sólo de la marca Zyxel tienen el mismo agujero (https://www.shodan.io/search?query=rompager+port%3A7547+country%3Aes) en España, con el puerto 7547 abierto y un error que permite a cualquiera entrar en el aparato.

De estos, casi 11.000 son routers de Jazz Telecom, que le quita importancia: "Es un riesgo muy pequeño que solo podría afectar a menos del 0,7% de los routers de Jazztel". El proveedor asegura estar "analizando los equipos que pudieran ser accesibles por ese puerto para ver si realmente son susceptibles de este tipo de ataques o no. En caso de que lo sean, por supuesto se realizará una actualización de versión lo antes posible para solventar el problema".

El analista de seguridad Jorge SoydelBierzo lo considera grave por el hecho de que un atacante podría llegar a "instalarte un firmware modificado, reenviarte a páginas del atacante que simulen ser tu banco, o substituir servicios de publicidad legítimos, como DoubleClick, por uno propio que inyecte malware en tu equipo, entre otras maldades". Y también convertir el router en un arma de ataque. Esta es precisamente la razón del actual revuelo.

Y es que routers vulnerables los ha habido siempre (https://bandaancha.eu/articulos/configuracion-routers-adsl-telefonica-6922), así como gente que los ha atacado en masa. Incluso hubo, el año pasado, un buen samaritano que los atacaba para inyectarles un código que parcheaba sus agujeros (http://www.securityweek.com/tens-thousands-routers-ip-cams-infected-vigilante-malware). La razón del actual revuelo es Mirai, el nombre de un virus y una botnet responsables de brutales ataques DDoS, usando para ello aparatos inseguros de la Internet de las Cosas, como cámaras IP, grabadores de vídeo digital o routers.

Los virus para la Internet de las Cosas ya existían al menos desde 2013. Pero Mirai ha llegado cuando los dispositivos conectados a Internet empiezan a tener un número importante y ha demostrado su poder con brutales ataques de denegación de servicio contra sitios de infraestructura de Internet como el proveedor OVH o Dyn. Además, su autor o autora, Anna-Senpai, hizo público el código de Mirai el 30 de septiembre, permitiendo que cualquiera pueda crear su propio virus y botnet para Internet de las Cosas.

Esto ha animado mucho el mercado ya boyante de los ataques DDoS, donde delincuentes alquilan sus botnets para lanzar bombardeos al coste de entre 25 y 150 dólares las 24 horas. Las botnets de la Internet de las Cosas son de construcción barata y fácil y posibilitan bombardeos muy potentes dado que, explica SoydelBierzo, "la mayoría de dispositivos están conectados 24x7, desactualizados y/o usando las claves por defecto".

BestBuy y Popopret también alquilan su botnet, que aseguran tiene 4,8 millones de bots, aunque los expertos la cifran en menos. BestBuy y su amigo han creado una modificación del virus Mirai, al que llaman Annie, con el que buscan nuevos "mercados", o sea, dispositivos para hacer crecer su botnet. Esta es ahora la situación en el hampa cibernética: facciones luchando por hacer suyo el medio millón de dispositivos que formaban la botnet Mirai original, despiezándola y creando así decenas de pequeñas botnets Mirai, con no más de 50.000 aparatos cada una.

Todos lanzan sus virus masivamente, a la búsqueda de dispositivos que se hayan conectado de nuevo a la red, o bien hayan sido reiniciados (el delincuente pierde el control del router si este se reinicia, quedando en manos del próximo que lo intente). Los más listos, como BestBuy y su amigo, crean código para inyectarlo a los routers atacados y así no perder su control cuando se reinicien (https://motherboard.vice.com/read/hacker-claims-to-push-malicious-firmware-update-to-32-million-home-routers). Así, explica SoydelBierzo, "estos dispositivos, una vez infectados, seguirán estándolo hasta que los tires a la basura. A la mayoría de las operadoras les importa poco y a los fabricantes chinos de cámaras IP baratas, imagina...".

Y es que, como destaca el experto, la mayoría de los dispositivos de la Internet de las Cosas "jamás serán actualizados y no tienen un antivirus dentro que descubra el código malicioso". Sus propietarios tampoco tienen forma de darse cuenta de que han pasado a formar parte de una botnet, a no ser que visiten servicios como IOT Scanner (http://iotscanner.bullguard.com/), algo que nadie suele hacer normalmente.

La competencia entre los salteadores de la Internet de las Cosas es feroz. Lo demuestra una prueba que realizó el investigador Robert Graham a mediados de noviembre: conectó una cámara IP JideTech a Internet y en 98 segundos un virus tipo Mirai ya la había detectado y tomado su control (http://www.theregister.co.uk/2016/11/18/surveillance_camera_compromised_in_98_seconds/).

El parque de aparatos conectados a la Internet de las Cosas, por el que compiten esos oscuros empresarios del "DDoS-como-servicio", aún es pequeño en comparación con lo que puede llegar a ser, afirma el estudio "Rise of the Machines" (http://icitech.org/wp-content/uploads/2016/12/ICIT-Brief-Rise-of-the-Machines.pdf): "Gartner estima que a finales de 2016 hay unos 4 mil millones de dispositivos en la Internet de las Cosas y sólo en estas Navidades se comprarán más de 170 millones, como relojes inteligentes, consolas de videojuego y otros. De estos, el 4,6% serán vulnerables a botnets como Mirai".

Según James Scott y Drew Spaniel, autores del estudio, los brutales ataques que hemos visto hasta ahora, que según Akamai han supuesto un aumento del 70% en los ataques DDoS respecto al año pasado, serían sólo "testeos de combinaciones de tipos de tráfico, desde pequeños números de bots. Los autores de estos bombardeos estarían sólo "haciendo pruebas sobre las capacidades del malware, no llevando a cabo ataques a gran escala", asegura el estudio.

Esto es precisamente lo que adujeron BestBuy y Popopret a los medios, después de dejar a casi un millón de alemanes sin Internet: estaban haciendo "pruebas" (http://motherboard.vice.com/read/two-hackers-new-mirai-internet-of-things-botnet-deutsche-telekom). Y lo mismo respecto a los ataques en Gran Bretaña: "No lo hicimos intencionadamente, pero ellos también deberían dar a sus clientes mejores equipos".(https://motherboard.vice.com/read/hackers-say-knocking-thousands-of-brits-offline-was-an-accident-mirai)

LOS RECORDS DE LA BOTNET MIRAI

20 septiembre 2016. El blog del experto en ciberseguridad Brian Krebs cae bajo un extraño ataque, lanzado desde una botnet de cámaras IP, routers y grabadoras digitales. Potencia máxima del ataque: 620 Gigabits por segundo.

16 noviembre 2016. El proveedor francés OVH sufre brutales oleadas de ataques DDoS coordinados de diferentes botnets hechas también con cámaras IP, routers y grabadoras. Potencia máxima: 1,1 Terabits por segundo.

21 octubre 2016. El proveedor de infraestructura DNS Dyn sufre multiples ataques (http://www.elconfidencial.com/tecnologia/2016-10-21/ciber-ataque-ddos-twitter-facebook_1278793/) desde aproximadamente 100.000 dispositivos de una botnet Mirai. Clientes de Dyn como Twitter, Reddit o Spotify se ralentizan o caen esporádicamente. Potencia máxima: 1,2 Terabits por segundo.

3 noviembre 2016. Múltiples fuentes confirman que Mirai ha atacado al principal proveedor de telefonía móvil de Liberia. Se llega a asegurar que el país se ha quedado sin Internet, pero muchos expertos lo ponen en duda. Potencia máxima: 500 Gigabits por segundo.

Finales de Octubre-3 Noviembre 2016. Dos bloques de apartamentos en Lappeenranta (Finlandia) se quedan sin agua caliente ni calefacción porque Mirai ataca sus sistemas de control, que están conectados a Internet. Los encargados del mantenimiento no saben nada de Internet y mientras esperan una solución de la compañía central, Valtia, los residentes pasan una semana sin calefacción.

Octubre-Noviembre 2016. Diferentes ataques contra las dos facciones de la campaña por las elecciones presidenciales en Estados Unidos se atribuyen a botnets Mirai, con potencias disminuidas porque la botnet principal se ha partido entre distintos grupos. Vemos ataques DDoS contra las webs de Donald Trump y Hillary Clinton, también contra un servicio bancario telefónico usado por ambos candidatos e incluso el sitio WikiLeaks, cuando el 7 de noviembre publica los correos electrónicos de John Podesta. 8-10 Noviembre 2016. Cinco bancos rusos, Sberbank, Alfa-bank, Moscow Exchange, Bank of Moscow y Rosbank sufren ataques DDos prolongados, de una a 12 horas, desde 24.000 dispositivos infectados de la Internet de las Cosas localizados en 30 países.



Mercè Molist