Más de 70.000 routers han sido hackeados en una operación que continúa dando quebraderos de cabeza a los especialistas de seguridad y que comenzó mucho antes de lo que se pueda imaginar. Estos routers infectados han servido como parte de una botnet en la que los atacantes han comenzado a llevar a cabo sus propias estrategias maliciosas. Como puedes imaginar, es fundamental que sepas si tu router está o no entre los afectados.
Hay ocasiones en las que este tipo de ataques a gran escala se producen con víctimas muy específicas que dejan a los usuarios de a pie, a salvo. Pero, en esta ocasión, el ataque, generado a través de un malware de Linux conocido como AVrecon, atacó directamente los routers de usuarios domésticos y pequeñas oficinas. Eso lo ha convertido en un incidente todavía más grave que ha puesto en alerta a miles de usuarios.
Una operación hacker muy peligrosa
El plan de los atacantes ha quedado claro para los especialistas en seguridad que han podido analizar lo que está ocurriendo. Lo que buscaban los hackers era infectar la mayor cantidad posible de routers con la intención de crear una botnet que hiciera dos cosas. Por un lado: robar todo el ancho de banda posible de los usuarios sin que se dieran cuenta. Por otro: crear un servicio de proxy del que se pudieran beneficiar aprovechándose de los miles de routers hackeados.
Su beneficio con el segundo de sus objetivos sería poder tener una plataforma que les permitiera poner en práctica todo tipo de estafas y ataques. Uno de los que se mencionan en el informe publicado son los ataques de descifrado de contraseña, para los que normalmente se requiere una gran infraestructura. El plan de los hackers habría llegado a buen puerto tras su concepción en 2021, lo que significa que ha pasado un largo periodo de tiempo sin ser detectado. A lo largo de estos años, unos 40.000 routers de los 70 mil que han sido infectados, han pasado a formar parte de la botnet.
@adslzone Hackearon 70.000 routers. #hackers #seguridad #router #botnet #actualizacion
Estos son los routers afectados
Los primeros análisis de seguridad han descubierto que el ataque se ha concentrado en los routers Netgear, específicamente en los de categoría SOHO. Como te hemos mencionado antes, estos se trata de los routers que están enfocados a su uso en el entorno doméstico o en las pequeñas oficinas. Uno de los motivos por los que los hackers optaron por este tipo de routers fue porque sabían que tendrían más facilidad para llevar a cabo la infección. Al fin y al cabo, los routers que se utilizan a gran escala o por parte de grandes oficinas, suelen tener unas medidas de seguridad superiores y procesos de parcheo y actualización más constantes, mientras que en los SOHO no se presta tanta atención a ello.
No obstante, aunque en este caso han sido los routers Netgear los afectados, un caso muy similar, pero encabezado por el grupo hacker Volt Typhoon, lo hizo aumentando el rango de modelos atacados. En su caso llevaron su infección a los routers de otras marcas como Asus, D-Link o Cisco, entre otras.
La investigación sobre el ataque sigue en marcha, pero el equipo de especialistas de Black Lotus Labs habla de cómo los hackers que están al frente del mismo tienen una estrategia muy bien planificada. Desde el primer momento optaron por mantener el ataque en un perfil bajo, no buscando un beneficio inmediato de lo que habían hecho, sino pensando a largo plazo. No es algo que siempre ocurra en este tipo de casos. Una vez fueron infectando los dispositivos poco a poco, se ocupaban de conectar el router a una unidad externa que actuaba de centro de control y que determinaba lo que, a partir de ese momento, haría el router.
Todo ello se produce a un nivel poco invasivo que lleva a que los usuarios realmente no sepan que algo malo está ocurriendo en su instalación de Internet. Ni siquiera reiniciando el router se llegaría a notar nada. Además, los expertos recomiendan tener cuidado con los routers que pueden haberse visto afectados, puesto que el ataque tiene capacidad para superar muchas de las defensas de estos dispositivos.