Menú Cerrar

MIKROTIK, recientes malwares que han afectado a miles de routers en el mundo.

Durante estos últimos meses se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.

La popularidad a hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.

El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.

Por lo general cuando hablamos de un virus o  malware pensamos que solo afectaría a una computadora, o a un smartphone, pero cuando te dicen que apareció un malware capaz de tomar el control de tu router, esto supera nuestras expectativas,  no solo pueden infiltrar tu computadora o smartphone sino que también pueden por medio del sistema comenzar a manejar dispositivos que están conectados a ella, hasta el mismo router con el que administras la conexión a internet de tu casa u oficina

La gente de Kaspersky Lab notificó en días pasados el descubrimiento de  un potente malware que tiene la capacidad de intervenir routers de la marca Mikrotik y hacer que los dispositivos que estén conectados a él realicen actividades en segundo plano y sin que nadie lo note

El nombre del malware es Slingshot, y tiene un mecanismo de acción que ataca en múltiples capas. Según el reporte de Kaspersky recogido por Engadget, el malware reemplaza un archivo de la biblioteca con una versión maliciosa que descarga otros componentes. Con esta base, lanza un sofisticado ataque que obtiene el control total del dispositivo.

El malware en cuestión tiene dos lineamientos de acción, el primero fue llamado Canhadr y ejecuta un código de bajo nivel en el kernel, entregando control al intruso, y por otra parte está GollumApp, que se enfoca en el usuario mismo y en mantener el malware activo.

Si bien es cierto Kaspersky no ha dado detalles sobre las vulnerabilidades específicas que utiliza este malware para funcionar, si tuvieron tiempo para decir que esta herramienta no sería cualquier cosa, que sería una verdadera “obra maestra”, por lo mismo muchos ya especulan de que este malware pueda ser el resultado de algunos ataques de X agencia de vigilancia de alguna nación que tenga intención de “escuchar conversaciones ajenas”, como pasó en su momento con Cisco al que se le acusaba de que varios de sus routers habían sido infectados para utilizarlos como puerta de entrada a ciertas redes de algunos gobiernos, no diremos cuales, pero todos sabemos quiénes son los que gustan de andar espiando a los países vecinos.

Slingshot ya tomó control de muchos dispositivos en Libia, Turquía, Kenia, Jordania, Afganistan e Iraq, lo que ha terminado por comprometer información importante de varias instituciones gubernamentales de dichos países. A pesar de que el ataque por parte de este malware parece estar concentrado en los países anteriormente mencionados, no se puede descartar que el ataque pueda llegar a transformarse en algo global, comprometiendo otras naciones en distintos continentes.

¿Sospechosos?, si, los hay, y según la gente de Kaspersky serían de habla inglesa y entre las opciones estaría Estados Unidos y Reino Unido como los favoritos para adjudicarse el invento, aunque claramente nunca tendremos una confirmación de esto, como ha pasado otras tantas veces donde ciertas naciones han sido espiadas por X gobierno y después todos hacen como si no hubiera pasado nada, como las historias que un día Edward Snowden nos contó en tiempos donde todavía pertenecía a la NSA.

¿Solución al problema?, actualizar los dispositivos, la gente de MikroTik ya tendría la solución al problema y actualizando se solucionaría todo, asegurando obviamente que los productos que desde ahora llegarán altercado ya tendrán la vulnerabilidad parchada.

Por otro lado estos routers se están convirtiendo en objetivo prioritario de los ciberdelincuentes que aprovechan estas vulnerabilidades en su propio beneficio. Estos dispositivos son un eslabón débil de la cadena ya que no cuentan con el cuidado y atención necesario (olvidamos actualizar el firmware, sin ir más lejos). El último ataque conocido contra decenas de miles de routers busca instalar CoinHive para minar criptomonedas y ganar así dinero a costa del equipamiento de red de los usuarios.

En mayo saltaba la noticia, el FBI recomendaba que reiniciáramos nuestro router lo antes posible. Esto estaba relacionado con la existencia de VPNFilter, un malware que afectaba a más de medio millón de routers de todo el mundo de los principales fabricantes. Ha sido un año muy movido en cuanto a vulnerabilidades (no vamos a hablar de Spectre), y los routers se han llevado buena parte de ellas.

Instalar CoinHive para minar criptomonedas desde nuestro el router

Por otra parte investigadores de Trustwave han descubierto un ataque sobre decenas de miles de modelos MikroTik  con el único objetivo de instalar el script CoinHive para minar criptomonedas. Si las grandes vulnerabilidades están marcando 2018, no menos lo están haciendo las criptomonedas.

Muchas páginas web han empezado a incluir este tipo de scripts debido a la caída de los ingresos de la publicidad. De la misma forma, han logrado colar aplicaciones maliciosas con el único propósito de minar criptomonedas en tiendas legítimas como Google Play Store o en el propio Steam en los últimos días.

Un aumento de la actividad de CoinHive a principios de semana alertó a los investigadores que descubrieron el problema en los router MikroTik. Como sabemos, estos modelos no se usan de forma mayoritaria en usuarios domésticos, aunque es cierto que existen excepciones sobre todo en usuarios más avanzados por sus opciones y capacidades de configuración.

Se estima que el ataque ha llegado a afectar a 70.000 routers de esta compañía y no únicamente situados en Brasil. El ataque aprovecha una vulnerabilidad que se cerró con una actualización el 23 de abril. Como siempre, decenas de organizaciones no han hecho su trabajo y no han aplicado el parche, lo que permite a estos ataques convertirse en masivos.

Volviendo al ataque, este no instala el script en el propio router, pero sí hace que se ejecute cada vez que accedemos a una página web “inyectando” el código de este. Se estima que los ciberdelincuentes podrían ganar millones debido al alcance del ataque.

En Solución Digital LA, ya nos ha tocado brindar el soporte correspondiente ante este tipo de ataques,  decenas de equipos  “Mikrotik” afectados por estar desatendidos desde que fueron adquiridos por algunos clientes.

Estos ataques se manifiestan de diversas formas, por ejemplo uno de ellos se trata de scripts insertados y programados para ejecutarse a  través  la activación del servicio “webproxy” los cuales activan otras funciones que vulneran la red o llaman a la activación de programas de minería a través de ciertas páginas

 

La solución consiste en eliminar estos scripts y cualquier archivo no deseado dentro del sistema, actualizando a las versión más reciente de firmware publicada por el fabricante y  activando ciertas reglas básicas de seguridad, debemos recordar que este tipo de equipos no son como cualquier router “plug and play” que se compra en la tienda de la esquina, estos routers están diseñados para ser usados en pequeñas y medianas organizaciones y su puesta en producción requiere de un personal calificado para su programación, tomando en cuenta las características o demanda de la red donde vaya ser colocado.

Por ello recomendamos que este tipo de equipos deben estar bajo administración o supervisión constante, servicio el cual ponemos a su disposición en nuestros paquetes de “soporte no presencial”.

 

Fuente principal: https://www.kaspersky.com/,

Facebook Comments
Si te gustó esta publicación o consideras que contiene información que puede ser útil para otros, estaremos muy agradecidos de que la compartas por tus redes sociales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Precious Metals and Currency Data Powered by nFusion Solutions