News

Atacantes toman control de routers MikroTik para espiar el tráfico de redes de sus usuarios

Se ha descubierto una vulnerabilidad en routers MikroTik que ha dejado expuestos a ataques de hackers a casi 240.000 dispositivos en todo el mundo. Los ciberatacantes ya están explotando esta vulnerabilidad para espiar las comunicaciones que se transfieren mediante estos dispositivos.

Los investigadores de Netlab han descubierto 7.500 dispositivos infectados en decenas de países, incluyendo Rusia, Irán, Brasil y Estados Unidos. Por ahora no parece que se esté atacando a ninguna región en particular pero la amenaza de expansión está vigente, ya que los atacantes activaron el mismo protocolo para transferir el tráfico de datos, o protocolo SOCKS4, en 239.000 routers MikroTik.

Los expertos de Netlab no están seguros de la razón por la que los atacantes están haciendo un trabajo tan arduo para conseguir datos de este protocolo, que es muy poco utilizado por los usuarios. “Es difícil comprender lo que los atacantes están haciendo con tantos proxis SOCKS4, pero creemos que podría ser algo significativo”, dice el informe de Netlab.

“También notamos que los puertos 161 y 162 de SNMP son los más usados. Esto da lugar a algunas interrogantes, como ¿por qué los atacantes están prestando atención a un protocolo de administración de redes que los usuarios regulares casi no utilizan? ¿Están tratando de vigilar y capturar algunas de las cadenas de caracteres comunitarias de redes SNMP de usuarios especiales?

Los atacantes están recolectando datos de Protocolo de Transferencia de Archivos (FTP) y tráfico de mensajes y correos electrónicos mediante SMTP, POP3 e IMAP. “Para que el ataque mantenga el control del dispositivo aun después de reiniciar el dispositivo y cambiar la dirección IP, el dispositivo se configura para ejecutar una tarea programada que informa sobre la última ubicación de su IP accediendo a una URL definida por el atacante”, explicó Netlab. “De esta manera, el atacante continúa buscando más dispositivos MikroTik RouterOS con estos proxy Socks4 comprometidos”.

Los ataques se llevan a cabo explotando una vulnerabilidad en el programa RouterOS del dispositivo, diseñado para facilitar el acceso de forma remota a los administradores. La vulnerabilidad en cuestión es conocida como CVE-2018-14847 y ya había sido descubierta y explotada en ataques que intentaban usar el dispositivo para minar monedas virtuales. MikroTik lanzó un parche para esta vulnerabilidad en abril, pero se calcula que unos 370.000 dispositivos aún no han instalado las actualizaciones.

Por lo tanto, la principal recomendación de seguridad para protegerse de esta amenaza es asegurarse de tener el router actualizado. Los dueños del router también pueden desactivar los proxy SOCKS en el dispositivo, aunque esta operación es un poco más compleja porque implica acceder a las líneas de comando de la interfaz del dispositivo.

Fuentes
Mikrotik routers pwned en masse, send network data to mysterious box • The Register
Hacker Using MikroTik Routers to Eavesdrop on Internet Traffic • PC Magazine
Thousands of MikroTik Routers Hacked to Eavesdrop On Network Traffic • The Hacker News

Atacantes toman control de routers MikroTik para espiar el tráfico de redes de sus usuarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada