Introducción
Esta es la descripción de un ataque que se está llevando a cabo en Brasil desde 2011 con una vulnerabilidad de firmware, 2 scripts maliciosos y 40 servidores DNS maliciosos. La amenaza afecta a 6 fabricantes de hardware e hizo que millones de usuarios de internet brasileños se conviertan en víctimas de un ataque constante y masivo a módems DSL.
Mostraremos cómo los cibercriminales explotaron una vulnerabilidad de bajo perfil que afectó a miles de módems DSL desactualizados en todo el país. Esto hizo que el ataque llegara a dispositivos de red de millones de individuos y usuarios corporativos, propagando malware y realizando redirecciones maliciosas durante varios meses. La situación se agravó con la negligencia de los proveedores de Internet (ISPs), los errores de los fabricantes de malware, la ignorancia de los usuarios y la apatía de las autoridades.
Si crees que fue difícil limpiar los equipos de las víctimas de DNS Changer, imagina lo que será lidiar con los 4,5 millones de módems comprometidos en este ataque, todos ellos en la soleada y bella República de Brasil.
Una vulnerabilidad de firmware
A menudo los dispositivos de equipamiento de redes se descuidan – la mayoría de los usuarios y negocios no se preocupan por descargar periódicamente las actualizaciones de los fabricantes cuando ya están instalados y configurados. Hasta la falla más pequeña puede afectar a miles de usuarios que sufren ataques silenciosos y reciben solicitudes para instalar malware e ingresar a dominios con estafas phishing. Como explicó la investigadora Marta Janus, los módems DSL sufren ataques de diferentes tipos de malware, por lo general basados en Linux, que explotan vulnerabilidades CSRF, fallas de configuración en UPnP y SNMP y hasta complejos ataques pharming “drive-by”.
A pesar de ello, no sólo gran parte de los usuarios ignoran este tipo de amenazas, sino que la comunidad de seguridad también les presta muy poca atención. Es común que te recuerden la importancia de instalar parches de seguridad en el sistema operativo, pero pocos hablan sobre la necesidad de actualizar el firmware del módem DSL.
En marzo de 2011 se reveló sin mucho escándalo una vulnerabilidad en un módem específico. La falla hacía que personas externas pudieran acceder al módem DSL a distancia. Nadie sabe con exactitud cuándo comenzaron los criminales a explotarla de forma remota. La falla permite que se realice una Falsificación de Solicitud de Sitios Cruzados (CSRF) en el panel de administración del módem DSL, capturando la contraseña del dispositivo para que el atacante pueda realizar cambios, por lo general en los servidores DNS.
Figura 1: Exploit publicado en marzo 2011 en exploit-db.com
Aunque tu dispositivo tenga una contraseña resistente, la vulnerabilidad permite al atacante ingresar al panel de control, conseguir la contraseña, irrumpir en el dispositivo y realizar los cambios que desee.
Figura 2: Panel de administración de un módem vulnerable al que se ingresó de forma remota
Parece que el problema no tiene relación con un modelo o fabricante en particular, sino que se encuentra en el controlador del chipset que realiza las funciones principales en el equipo, y que los fabricantes de módems compran para usar en sus productos. Todos los dispositivos afectados tienen el chipset Broadcom, que muchos fabricantes utilizan, incluyendo módems que se venden en Brasil y tienen la aprobación de la Agencia Nacional de Telecomunicaciones del gobierno brasileño. Pero no todos los dispositivos con chips Broadcom tienen este problema, aunque no se ha revelado cuáles son las versiones y equipos específicos afectados. Esto depende de la información de los fabricantes.
Panel de administración de un módem comprometido que permite que se cambie la contraseña
Dos scripts maliciosos
El ataque era simple. Los criminales buscaban en Internet módems que estuvieran expuestos en la red.
Después utilizaban dos scripts bash que se ejecutaban en un servidor dedicado que se había comprado con este propósito exclusivo. Se establecieron una serie de IPs para que el script las escaneara y evaluara. Se intentaba explotar la vulnerabilidad cada vez que se encontraba un módem.
Imagen 4: Script que se usó en los ataques
Una vez dentro, se ejecutaba otro script llamado “roda.sh” y se accedía al modem. La vulnerabilidad revela la contraseña de administración del módem. Al conseguirla, el script ingresa al panel de administración del módem, cambia la configuración del Sistema de Nombres de Dominio (DNS) y cambia la contraseña para evitar que el dueño pueda volverla a cambiar.
Imagen 5: Script bash para explotar la vulnerabilidad CSRF y cambiar la configuración DNS
Los criminales escogieron contraseñas como: “dn5ch4ng3”, “ch4ng3dn5” y otras similares.
Los criminales establecieron un amplio espectro de IPs para analizar automáticamente:
Imagen 6: Parte de una larga lista de rangos de IPs a revisar
6 fabricantes de hardware
Se descubrieron ataques a módems DSL de seis fabricantes. Cinco de ellos tienen muchos consumidores en Brasil y algunos están entre los modelos más vendidos.
La situación se complica por el hecho de que, aún sin tomar en cuenta la vulnerabilidad, muchos módems se envían con contraseñas predeterminadas que se conocen públicamente y los usuarios olvidan cambiar. Otros módems se configuran cuando los proveedores locales activan cuentas de acceso remoto, que casi siempre se usan para soporte técnico, y los criminales conocen sus credenciales.
Es más, algunos fabricantes no hacen nada para solucionar estos problemas aunque les hayan alertado sobre ellos. Esto deja a los usuarios expuestos a ataques, ya que las compañías tardan demasiado en lanzar las actualizaciones de firmware necesarias para lidiar con la situación.
Anatel, la Agencia Nacional de Telecomunicaciones de Brasil, es la agencia gubernamental que tiene la autoridad para examinar los dispositivos de red antes de que se les otorgue el permiso de distribución. Pero estas pruebas sólo verifican que el aparato funcione y no evalúan su seguridad. Esto permite que las ISPs locales distribuyan el módem DSL que prefieran, que por lo general son modelos viejos, baratos y con firmware vulnerable.
Se registraron ataques en los principales proveedores de Brasil. Una ISP grande tiene un promedio de entre 3 y 4 millones de clientes, y en algunos casos el 50% de sus clientes fue víctima de estos ataques.
ISP | Clientes en 2012 |
Oi | 5.3 million |
Net | 4.8 million |
Telefonica | 3.7 million |
GVT | 1.7 million |
Proveedores brasileños de Internet más grandes según Teleco.com.br
La negligencia de los fabricantes, la negligencia de los proveedores y la ignorancia de las agencias gubernamentales crearon una “tormenta perfecta” que permitió a los cibercriminales atacar a voluntad.
40 servidores DNS maliciosos
Para que el ataque comenzara a funcionar, los cibercriminales registraron alrededor de 40 servidores DNS maliciosos en diferentes servicios de alojamiento. Casi todos estaban fuera de Brasil.
Lista de 35 servidores DNS maliciosos – se registraron 40 para realizar los ataques
Encontramos ataques en los que sólo se había cambiado el servidor DNS primario del dispositivo, por lo que el servidor DNS secundario del ISP se mantuvo con la configuración original o usando un DNS público de Google. Por lo tanto, el criminal activaba el DNS primario sólo en momentos determinados del día.
Esto le permitía controlar el tráfico y mantener la discreción del ataque sin levantar sospechas.
Cuando el dispositivo estaba ya configurado, el servidor DNS malicioso dirigía a las víctimas a servidores que ejecutaban BIND con tipos de input “SOA” y “A”, en los que se alojaban varios dominios con páginas falsas de bancos brasileños. Otros criminales aprovechaban las redirecciones para instalar el malware en los equipos de las víctimas.
4,5 millones de módems afectados
En marzo de 2012, CERT Brasil informó que los ataques habían comprometido alrededor de 4,5 millones de módems. Esta situación obligó a los bancos, servidores de Internet, fabricantes de malware y agencias gubernamentales a reunirse para discutir una solución para el problema.
No era suficiente solo con denunciar el abuso de los servidores DNS maliciosos que se usaron en el ataque – como hay miles de usuarios afectados, esto solo inundaría los centros de asistencia telefónica de las compañías pidiéndoles una solución.
Algunos fabricantes comenzaron a lanzar actualizaciones del firmware del módem para solucionar el problema, en especial en los modelos más populares, y los usuarios comenzaron a quejarse a sus proveedores pidiendo una actualización del firmware, mientras los bancos denunciaban los servidores DNS maliciosos. A pesar de todo, en marzo de 2012, CERT Brasil estimó que todavía había unos 300.000 módems afectados.
El objetivo principal de los atacantes, como suele ocurrir en el cibercrimen brasileño, era robar las credenciales bancarias de las víctimas. No se detendrán hasta conseguirlo, dirigiendo a las víctimas a páginas bancarias falsas o tratando de instalar malware con copias de sitios populares como Google, Facebook y Orkut.
Hace poco, Trend Micro publicó una entrada en su blog en la que describía este mismo ataque, pero admitía que faltaba algo:
“Tenemos una imagen completa de este ataque en particular, pero nos falta precisamente lo que nos hizo prestar atención a este malware en particular entre los millones de datos que tenemos – cómo puede redirigir a los usuarios que acceden a sitios normales como Facebook y Google a sus IP maliciosas para descargar malware. Seguiremos investigando el caso…”
Lo que falta en este ataque es precisamente el módem DSL comprometido y los servidores DNS maliciosos que tiene configurados, responsables de dirigir a las víctimas cuando ingresan a sitios web populares y ofrecerles un troyano mediante URLs que parecen inofensivas:
1 2 |
http://www.google.com.br/css5/exploit.jar<br>http://www.google.com.br/css5/XAE.jar<br>http://www.google.com.br/k.jar<br>http://www.google.com.br/Google_setup.exe<br>http://www.baixaki.com.br/css5/exploit.jar<br> http://www.baixaki.com.br/css5/XAE.jar<br>http://www.facebook.com/css5/exploit.jar<br>http://www.facebook.com/FaceBook_Complemento.exe<br>http://www.terra.com.br/css5/exploit.jar<br>http://www.terra.com.br/css5/XAE.jar<br>http://www.ig.com.br/css5/exploit.jar<br>http://www.ig.com.br/css5/XAE.jar<br>http://www.uol.com.br/css5/exploit.jar<br>http://www.uol.com.br/css5/XAE.jar<br>http://www.buscape.com.br/css5/exploit.jar<br>http://www.buscape.com.br/css5/XAE.jar<br>http://www.clicrbs.com.br/css5/exploit.jar<br>http://www.mercadolivre.com.br/css5/exploit.jar<br>http://www.mercadolivre.com.br/css5/XAE.jar |
El usuario recibe una advertencia para instalar un “complemento” cuando ingresa a sitios populares como Facebook:
Imagen 7: Comportamiento de un módem comprometido El mensaje dice: “Instale ya la nueva aplicación para Facebook”.
Algunos ataques utilizaron exploits recientes de Java para infectar a las víctimas de forma automática o mediante ataques de descargas “drive-by”.
Imagen 8: ¿Google y Orkut pidiendo que se ejecute un applet de Java? No, es el DNS malicioso configurado en el módem.
Por supuesto, la diseminación de estos exploits se limitó a Brasil. Como ejemplo vimos Exploit.Java.CVE-2010-4452.a, que se usó en estos ataques durante mayo de 2011. El primer día de este ataque registramos más de 800 usuarios infectados:
Imagen 9: Número de ordenadores infectados con sólo un exploit: todos ubicados en Brasil.
Las autoridades accedieron y tomaron el control de uno de los servidores DNS usados en el ataque. Así pudieron conseguir los archivos en los que los cibercriminales registraron la cantidad de víctimas. En uno de ellos había más de 14.000 víctimas registradas:
Imagen 10: Registro de uno de los servidores que muestra 14.000 ordenadores infectados
Conclusión
¿Qué pueden hacer los usuarios para evitar ser víctima de este tipo de ataques? Como aconseja Marta en su artículo: los usuarios deberían asegurarse de que sus contraseñas son resistentes, revisar sus configuraciones de seguridad y actualizar su firmware y cualquier otro programa pertinente con regularidad. Por ahora, es todo lo que pueden hacer. El resto está en manos de los vendedores, los únicos que pueden cambiar los diseños de los aparatos.
Kaspersky detecta este script malicioso como HackTool.Shell.ChDNS.a.
La historia de los mil y un módems DSL