Ha pasado mucho tiempo desde que publicamos nuestro análisis de las amenazas contra dispositivos de red domésticos. Desde entonces, la situación ha cambiado considerablemente… y sólo para peor. En 2011 nos preocupaba principalmente la seguridad de los routers domésticos y de pequeñas oficinas, los módems DSL y los puntos de acceso Wi-Fi. Hoy hablamos del Internet-de-cosas (IoT), que incluye a cada máquina, aparato o dispositivo capaz de comunicarse por Internet.
Recordemos las amenazas contra los dispositivos de red que nos preocupaban a fines de 2011:
- Infecciones DNS, pharming al paso y pharming en dispositivos domésticos: explotación de vulnerabilidades en una interfaz web de un modem/router para cambiar su configuración DNS para desviar a los usuarios hacia sitios maliciosos.
- Ataques UPnP y SNMP: explotación de vulnerabilidades y problemas de implementación en protocolos reconocidos para acceder al dispositivo.
- Binarios maliciosos: herramientas DDoS (Denegación Distribuida de Servicio) para Linux, especialmente ajustadas para ejecutarse en routers; redes zombi de routers capaces de lanzar una amplia variedad de ataques; gusanos que infectaban routers y se propagaban por la red.
Y ahora, miremos este año 2014 y veamos cuáles de nuestras predicciones se hicieron realidad…
Más ataques pharming contra dispositivos domésticos
Realidad. Varios ataques han utilizado la configuración DNS de un router para obtener los datos bancarios de los usuarios y desviarlos hacia sitios maliciosos. Sólo para mencionar algunos de los principales incidentes:
- Enero 2014: Una enorme campaña pharming OSHO que afecta a una amplia variedad de routers de diversas marcas en todo el mundo. Los atacantes explotan una serie de vulnerabilidades para cambiar la configuración DNS de más de 300.000 dispositivos, especialmente en Vietnam, India y Tailandia, pero también en varios países de Europa, las Américas y África. Como resultado, todo el tráfico en los routers infectados se desvió hacia servidores maliciosos, permitiéndoles a los ciberpiratas decidir si enviaban a los usuarios a la versión original del sitio que pretendían, o si los desviaban a un sitio phishing/malicioso.
- Febrero 2014: Otra gran campaña utilizando la técnica de infección de DNS. Esta vez, el ataque estaba precisamente dirigido y los blancos de los ciberpiratas estaban estrictamente definidos: los ataques estaban diseñados para robar los datos bancarios de los usuarios de cinco reconocidos bancos polacos. En este caso, la cantidad de routers infectados fue de unos 100, la mayoría de ellos en Polonia y Rusia. Cuando los usuarios intentaron acceder al sitio web del banco, se los desviaba a un sitio modificado que les pedía que introduzcan sus datos confidenciales.
- Septiembre 2014: un clásico ataque pharming al paso contra routers domésticos en México y Brasil. Este ataque comenzó con un mensaje de correo spam malicioso, enviado a una gran cantidad de usuarios brasileños, con la intención de inducirlos a pulsar en el enlace al sitio web malicioso. El script HTML de este sitio estaba diseñado para robar varias combinaciones de credenciales predeterminadas para acceder a la configuración del router y cambiar su configuración DNS. Si esta táctica fallaba, el script mostraba una ventana emergente pidiéndole al usuario que introduzca manualmente las credenciales del router.
Malware binario para ARM y otras plataformas
Realidad. Hemos detectado algunos programas maliciosos que afectan a routers MIPS y, más importante aún, algunos de estos programas se desarrollaron de tal forma que parecen estar diseñados para diferentes plataformas (MIPS, ARM, Intel, PPC, SuperH, etc.) y ejecutarse en diferentes tipos de dispositivos Linux. Un par de ejemplos:
- Aidra: una herramienta DDoS de código abierto, diseñada para escanear módems/routers y crear una red zombi con los dispositivos capturados. Actualmente existen varios binarios Aidra circulando en Internet, diseñados para diferentes plataformas (MIPS, ARM, PPC, SuperH), lo que significa que este gusano es capaz de infectar dispositivos IoT.
- Darlloz: un gusano y robot Linux diseñado para arquitecturas MIPS, ARM e Intel, que se propaga mediante una vulnerabilidad PHP-CGI para generar aleatoriamente direcciones IP; también es capaz de descargar y ejecutar otros códigos. Se comunica con su dueño abriendo una puerta trasera en el puerto TCP 58455, y espera sus comandos. Ha infectado a más de 30.000 dispositivos, especialmente en EE.UU. y China, y, como se comprobó después, se usó para instalar un software de minería de criptomonedas (cpuminer) en, por lo menos, los dispositivos Intel x86.
- El gusano Moon: un misterioso gusano que se propaga a través de un exploit que evade la autenticación remota en la implementación del protocolo HNAP en los routers Linksys E-Series. Este programa malicioso recopila información sobre el dispositivo y se comunica con sus servidores C&C (Comando y Control) mediante citas e imágenes de la película de ciencia ficción de 2009 “The Moon”. Los rangos de IP que el gusano escanea, para explotarlos, están incrustados en el binario e incluye unas 670 redes, la mayor parte de las cuales pertenece a los DSL y módems de cable de ciertos proveedores de Internet en varios países.
Figura 1: Aidra, herramienta DDoS de código abierto.
Figura 2A: El gusano Darlloz, desarrollado para la arquitectura ARM.
Figura 2b: El gusano Darlloz, el mismo código fragmentado, diseñado para arquitecturas x86.
Figura 3: El gusano Moon, con sus cadenas relacionadas con la película “The Moon”.
Modificaciones permanentes del firmware
Realidad. La historia publicada en la revista alemana c’t reveló el primer malware para routers que intentaba realizar cambios persistentes en el firmware del router. Este malware consistía en varios scripts shell de Linux que eran los responsables de descargar la versión modificada del firmware, para después rescribir la imagen original y reiniciar el router. El firmwre malicioso venía con un script init modificado que ejecutaba una herramienta espía (dsniff) en el equipo infectado, para capturar tráfico y enviar todos los datos interceptados al servidor FTP C&C. Este malware no sólo afectaba a los routers, sino también a otros dispositivos Linux incrustados, como los receptores Dreambox DVB.
Figura 4: Flasher, un script que remplaza el firmware original.
Figura 5: Flasher, el script que ejecuta el espía y envía los datos al servidor FTP.
Programas maliciosos transversales para múltiples plataformas
Realidad. Los programas maliciosos y las redes zombi, tradicionalmente asociados sólo con equipos Windows, ahora están comenzando a usar routers y otros dispositivos con conexión a Internet con diferentes propósitos maliciosos:
- El virus Sality se incorpora en los procesos de replicación de los routers domésticos mediante el método de infección de DNS, con el fin de desviar a los usuarios hacia ficheros infectados. En este caso, el malware utilizado era uno para Windows, similar al troyano DNSChanger.
- La red zombi Black Energy 2 también se modernizó para IoT: comenzó a usar complementos adicionales que estaban diseñados para ejecutarse en dispositivos MIPS y ARM con plataforma Linux. Estos módulos eran capaces de lanzar ataques DDoS, robar contraseñas, escanear puertos en la red y espiar el tráfico. Se comunican con servidores C&C y son capaces de ejecutar comandos shell específicos, descargar y ejecutar binarios adicionales. Hace poco publicamos un análisis detallado de Black Energy 2, que ofrece mucha información sobre este malware.
Más vulnerabilidades en firmware descubiertas y explotadas
Realidad. Este año se descubrieron varias vulnerabilidades críticas que afectaban a los dispositivos IoT y se dio parte a los vendedores. Sólo para mencionar algunas:
- Vulnerabilidad Rom-0 en routers ZyXEL que le permite al atacante descargar el fichero de configuración del router sin ninguna autenticación.
- Vulnerabilidad CVE-2014-2719 en los routers inalámbricos ASUS que le permite al atacante capturar las credenciales del router.
- 15 vulnerabilidades día-cero en 10 diferentes modelos de routers domésticos reveladas en el XXII concurso SOHOplessly Broken de Defcon.
- Nuestro colega David Jacoby encontró interesantes vulnerabilidades día-cero en los dispositivos de su propia casa.
- También necesitamos recordar que las vulnerabilidades Heartbleed y Shellshock afectan a algunos dispositivos de red Linux y a dispositivos IoT.
Pero mucho más escalofriante que el aumento de las vulnerabilidades descubiertas es el hecho de que ciertos fabricantes parecen estar implementando puertas traseras incrustadas en el firmware de sus productos, lo que les proporciona a los ciberpiratas una sencilla forma de penetración, especialmente en dispositivos que ya no reciben actualizaciones.
Como podemos ver, la situación de la seguridad para los dispositivos de red casi no ha mejorado desde 2011. Muchas de nuestras predicciones se hicieron realidad: las amenazas siguen aumentando y los ciberpiratas están más interesados no sólo en los routers y módems domésticos, sino en todo el Internet-de-Cosas (IoT). Aunque tanto los fabricantes como los proveedores de servicios de Internet poco a poco se van dando cuenta de la amenaza y tratan de que sus dispositivos sean más seguros, todavía queda mucho por hacer. Por ejemplo, uno de los problemas más serios es que la mayoría de los dispositivos más antiguos ya no reciben actualizaciones para su firmware, de manera que si se descubre un nuevo vector de ataque, los usuarios no podrán hacer absolutamente nada para protegerse, a menos que decidan comprar una nueva versión del dispositivo (a menudo cara) que todavía tenga soporte del fabricante. Este no es un problema de fácil solución: para los fabricantes no sería rentable dar apoyo por largo tiempo a cada dispositivo que venden, y sin parches de seguridad, no queda mucho por hacer para proteger estos dispositivos por el lado del usuario. Los tiempos cambian, y necesitamos un nuevo modelo de seguridad para el Internet-de-Cosas, porque el viejo modelo ya no sirve.
Para aprender a proteger la red de tu casa, puedes consultar estos consejos de mi colega David Jacoby.
Estado de la situación: Los dispositivos de red están en la mira