• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    300.000 routers comprometidos en campaña de secuestro de DNS

    300.000 routers comprometidos en campaña de secuestro de DNS Algunos de los 300.000 han sido confirmados - pero muy probablemente sean muchos más – los routers small office/home office (SOHO) que han sido comprometidos y ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      300.000 routers comprometidos en campaña de secuestro de DNS

      300.000 routers comprometidos en campaña de secuestro de DNS



      Algunos de los 300.000 han sido confirmados - pero muy probablemente sean muchos más – los routers small office/home office (SOHO) que han sido comprometidos y su configuración de DNS cambiadas usan dos direcciones IP en Londres, como ha de suponer, los atacantes aún desconocidos realizan ataques man-in-the-Middle.

      "Hasta la fecha, se han identificado más de 300.000 dispositivos, principalmente en Europa y Asia, creemos que los equipos están en el marco de una campaña que se remonta por lo menos a mediados de diciembre del 2013", informaron los investigadores de Team Cymru, que vieron varios routers TP-Link Wi-Fi afectados en enero y por el cual comenzaron a investigar sobre el asunto.

      "Los routers eran small office/home office (SOHO) dispositivos de la clase que proporcionan una conectividad Wi-Fi, DNS local y los servicios de DHCP a sus clientes, y estaban usando las contraseñas por defecto", señalaron.


      Pero algunos de ellos estaban corriendo una versión de firmwares vulnerables a ataques de Cross-Site Request Forgery, y al menos un firmware sporting al cual se le descubrió una vulnerabilidad por defecto que permite a los atacantes descargar el archivo de configuración del dispositivo que, por supuesto, contiene credenciales administrativas.

      Los routers afectados provienen de diferentes fabricantes - TP-Link, D-Link, Micronet, entre otros - y se localizan principalmente en Vietnam, la India, Italia, Tailandia y Colombia, también en Serbia, Ucrania y en Bosnia Herzegovina.

      Lo interesante de esta campaña es que parece que en la actualidad las solicitudes de DNS enviadas a esas dos direcciones IP se reenvían a servidores legítimos.

      "Se intentó iniciar sesión en los sitios web bancarios locales de los países que han sido afectados, y se probó descargar las actualizaciones de software de Adobe y otros, todos parecían funcionar normalmente, aunque muchas solicitudes enviadas eran notablemente lentas o no se completaban. Las páginas web que probamos también parecían mostrar publicidad normal usando estos servidores DNS ", anotaron los investigadores. Así que, o esto es sólo una prueba para realizar un daño mayor, o es el daño en si ya realizado.


      Los Investigadores de Team Cymru han notado algunas similitudes entre esta campaña y otra que se limita principalmente a dirigirse a clientes de varios bancos polacos, sin embargo, llegaron a la conclusión de que "las diferencias sutiles en el Tradecraft empleada hace que sea probable que [ellos] estén realizando campañas separadas por el mismo grupo, o hay varios grupos que utilizan la misma técnica para diferentes propósitos”.

      También agregaron que ellos no creen que el también recién descubierto gusano “The Moon” se encuentre en esta campaña dirigida a los routers de Linksys ya que no parece ser los mismos atacantes.

      Los investigadores han notificado a las autoridades acerca de esta campaña, y también a los fabricantes de los dispositivos afectados.

      El vocero del equipo de Cymru, Steve Santorelli, dijo a PC Pro que las dos direcciones IP en las cuales se hacen las peticiones de redirección de DNS se encuentran en las máquinas de los Países Bajos, sin embargo, parece que están registrados en Soluciones 3NT empresa con sede en el Reino Unido. Los rangos IP de esta empresa con anterioridad y ya en varias ocasiones se han asociado con sitios de spam.

      Los investigadores han compartido sus técnicas para mitigar este tipo de ataques en un documento técnico.

      "Como se puede ver los ataques son cada vez más sofisticados para comprometer las estaciones de trabajo, los delincuentes cibernéticos están recurriendo a nuevos métodos para alcanzar sus objetivos deseados, sin acceder directamente a las máquinas de las víctimas".


      La campaña detallada en este informe es uno de los más recientes de una creciente tendencia que Team Cymru ha observado en los delincuentes cibernéticos dirigidos a enrutadores SOHO.

      No es de extrañar que los criminales estén detrás de estos dispositivos, ya que notoriamente están llenos de agujeros de seguridad explotables, los usuarios ¿serán ahora tan relajados para cambiar la contraseña de administrador que viene por defecto?

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Vocaloid
      Registrado
      mar 2013
      Ubicación
      .
      Mensajes
      773

      Re: 300.000 routers comprometidos en campaña de secuestro de DNS

      hola Woaxxx

      No es de extrañar que los criminales estén detrás de estos dispositivos, ya que notoriamente están llenos de agujeros de seguridad explotables, los usuarios ¿serán ahora tan relajados para cambiar la contraseña de administrador que viene por defecto?

      correcto

      salu2