La Oficina Federal de Investigación ha emitido un anuncio de servicio público de emergencia de que los ciberdelincuentes están utilizando activamente enrutadores obsoletos para construir una amplia gama de redes proxy para actividades ilegales.
Según un informe reciente del FBI Flash, los actores de amenaza están apuntando a los enrutadores de terminales que ya no reciben parches de seguridad o actualizaciones de software, convirtiéndolos en un proxy anónimo que ayuda a los delincuentes a ocultar su huella digital.
Se ha identificado un modelo de enrutador vulnerable
El FBI ha identificado específicamente 13 modelos de enrutadores vulnerables vendidos bajo la marca Cisco.
Linksys E1200, E2500, E3200. Cisco Linksys E1000, E1500, E1550, E4200, WRT610N. Cradlepoint E300, E100. Cisco M10. Linksys WRT320N, WRT310N.
“Los enrutadores con fecha antes de 2010 pueden no recibir actualizaciones de software emitidas por el fabricante y pueden verse comprometidos por actores cibernéticos que explotan vulnerabilidades conocidas”, advirtió el FBI en su aviso.
El ataque aprovecha una variación de la botnet de malware Themoon, que se descubrió por primera vez en 2014 y ahora tiene un avivamiento significativo.
Este sofisticado malware no requiere una contraseña para infectar su enrutador. En cambio, escanea puertos abiertos, envía comandos maliciosos y espera instrucciones desde un servidor de comando y control de hackers.
Una vez instalado, el malware expandirá una carga útil llamada “.nttpd” y creará un archivo PID con el número de versión (actualmente 26).
A continuación, establezca una regla iptable que elimine el tráfico TCP entrante en los puertos 8080 y 80, mientras que el tráfico de un rango de IP particular protege de manera efectiva los dispositivos comprometidos de la interferencia externa mientras se mantiene el control del atacante.
El FBI vincula estos enrutadores comprometidos con servicios como proxies y 5socks que han sido incautados recientemente por las autoridades.
Estos servicios vendieron acceso a dispositivos secuestrados como redes proxy que permiten a los delincuentes ocultar sus verdaderas direcciones IP.
“Si un actor utiliza un servicio proxy para acceder a un sitio web y llevar a cabo actos criminales … el sitio web no registra una dirección IP real, sino que registra una IP proxy”, explicó el FBI.
Este anonimato permite una variedad de actos criminales, desde el robo de criptomonedas y el fraude para acceder a servicios ilegales sin un seguimiento fácil.
Las operaciones de malware como ICEDID y SOLARMARKER usan estos botnets proxy para ofuscar la actividad maliciosa.
Métodos técnicos de explotación
La explotación técnica comienza cuando un atacante aprovecha las vulnerabilidades en firmware obsoleto o credenciales débiles de fuerza bruta.
Por ejemplo, la vulnerabilidad del enrutador SEOWON SLR-120 (CVE-2020-17456) permite la ejecución del código remoto no certificado a través de una solicitud posterior simple al punto final del enrutador System_log.cgi.
Cuando se ve comprometido, el malware a menudo usa código como:
Estos comandos descargan y ejecutan cargas útiles maliciosas que establecen un control persistente.
Para proteger contra estos ataques, el FBI recomienda:
Reemplace inmediatamente el enrutador del final de la vida con un nuevo modelo compatible. Aplique rápidamente todas las actualizaciones de firmware y seguridad disponibles. Deshabilitar la gestión remota a través de la configuración del enrutador. Implementa contraseñas fuertes y únicas (16-64 caracteres). Reinicie el enrutador regularmente para flashear malware temporal.
Los signos de un enrutador comprometido pueden incluir sobrecalentamiento, cambios de configuración inesperados y problemas de conectividad intermitentes.
A medida que estos ataques continúan aumentando, el FBI enfatiza que el reemplazo agresivo del enrutador y la higiene de seguridad continuarán siendo la defensa más efectiva contra esta creciente amenaza.
¿Configuración del equipo de SOC? – Descargue la Guía de precios de SIEM Ultimate (PDF) gratuita para equipos SOC -> Descarga gratuita
