Según el operador del dominio nacional de la República Checa, a finales de mayo aumentaron de golpe los intentos de obtener las contraseñas de acceso remoto de Telnet mediante ataques de fuerza bruta, cuyo número fue el triple que el de ataques similares contra SSH. En los meses siguientes, el flujo malicioso dirigido contra las trampas Telnet de CZ.NIC experimentó una ligera disminución, pero todavía es el doble que el nivel registrado en primavera. Se pudo determinar que la actividad principal proviene de los routers y cámaras de vigilancia domésticos. Todo parece indicar que los delincuentes están formando una nueva botnet (que puede servir, por ejemplo, para lanzar ataques DDoS) o que están expandiendo botnets ya existentes.
Según los investigadores checos, tanto Telnet como SSH se usan para conectarse con dispositivos remotos y como ambos ofrecen acceso de consola gozan de popularidad entre los potenciales delincuentes. Sin embargo, el protocolo SSH -que es más seguro- se ha convertido en el estándar de facto para dichas conexiones, los iniciadores de los ataques de fuerza bruta lo saben y por lo general prefieren este servicio a los demás. El fuerte aumento del número de intentos de inicio de sesión mediante Telnet es un fenómeno extraordinario y los observadores de CZ.NIC decidieron hacer esfuerzos para comprender la situación.
Ante todo, notaron un aumento significativo del número de direcciones IP desde donde se realizaban los ataques. “En un momento dato, la tasa diaria aumentó desde aproximadamente 30 000 direcciones IP únicas hasta 100 000 o más”, escribe Bedřich Košata en el blog CZ.NIC. La mayor parte del tráfico de fuerza bruta provenía de China, Brasil, India, Taiwán y Vietnam. También se registró un aumento en la actividad de ciertas direcciones IP, pero no fue tan notable.
Con la ayuda del sistema de búsqueda Shodan se logró establecer que de los 6,5 millones de direcciones IP involucrados en los ataques de fuerza bruta, más de 1,8 millones (un poco más del 27%) están relacionadas con servidores HTTP y RTSP integrados. Entre ellos, los que más actividad muestran son los routers domésticos RomPager y gSOAP de versiones obsoletas y vulnerables, como también los dispositivos H264DVR 1.0 y los servidores fabricados por Dahua Technology usados en las cámaras de vigilancia.
Hasta el momento, CZ.NIC ha determinado que cerca de 20 000 nuevas direcciones IP generan tráfico malicioso. Para que los usuarios puedan averiguar si sus gadgets están afectados por esta cibercampaña, los investigadores han puesto en marcha el servicio en línea AmIHacked.turris.cz. Sin importar el resultado, Košata también aconseja limitar el acceso de los dispositivos inteligentes a Internet, para lo que es necesario colocarlos detrás de un firewall.
Fuentes: CZ.NIC
CZ.NIC constata intensificación de ataques de fuerza bruta contra Telnet