Los routers comprometidos se están convirtiendo en un punto de encuentro donde ciberdelincuentes y actores estatales comparten un objetivo común: ocultar sus actividades maliciosas y dificultar su detección. Esta realidad ha salido a la luz tras el descubrimiento de una botnet de routers Ubiquiti EdgeRouter que llevaba operando desde 2016, hasta que el FBI y otros socios internacionales interrumpieron sus operaciones en enero de 2024.
Intereses Comunes entre Estados y Ciberdelincuentes
Los routers comprometidos no solo son utilizados por ciberdelincuentes para alquilarse entre sí o a proveedores comerciales de proxies residenciales, sino que también son aprovechados por grupos estatales como Pawn Storm, que accedió a la botnetUn botnet es una red de computadoras comprometidas y control... para su espionaje persistente. En paralelo, Sandworm, otro actor estatal, utilizó su propia botnet de routers para ocultar sus movimientos.
La Infraestructura de Proxy
La botnet de EdgeRouter, que fue parcialmente desmantelada por el FBI, había estado en funcionamiento desde al menos 2016, integrando una combinación de scripts bash, Python y otros programas maliciosos como SSHDoor, que permitía a los atacantes obtener credenciales de inicio de sesión legítimas y mantener acceso persistente. Además, la botnet incluía Raspberry Pi, dispositivos Linux y servidores privados virtuales (VPS), que se utilizaban para minar criptomonedas como Monero.
Disrupción y Reorganización
Tras la intervención del FBI, el operador de la botnet migró algunos de los dispositivos comprometidos a una nueva infraestructura, permitiendo así la continuidad de sus actividades. Esto evidencia que, a pesar de las operaciones de las fuerzas de seguridad, los ciberdelincuentes encuentran formas de adaptarse y mantener su acceso a estas redes.
Superposición de Amenazas
Además de Pawn Storm, otro grupo significativo, conocido como Ngioweb, también está presente en algunos de los mismos enrutadores, utilizando técnicas avanzadas para operar en la memoria y evitar dejar archivos maliciosos en el disco. Esta superposición de amenazas pone de manifiesto el interés creciente de múltiples actores en explotar routers y servidores comprometidos para ocultar su actividad.
Recomendaciones para Proteger los Routers
Para mitigar el riesgo de ser parte de una red comprometida, se aconseja a los administradores de red:
- Asegurar que los routers no estén expuestos a conexiones entrantes de internet a menos que sea absolutamente necesario.
- Verificar si hay credenciales predeterminadas y cambiarlas por contraseñas seguras.
- Identificar si hay puertos abiertos innecesarios o configuraciones sospechosas en el router.
- Realizar escaneos de malware en los dispositivos para detectar actividad anómala.
La ciberguerra ha llegado hasta las redes domésticas y corporativas a través de enrutadores comprometidos, por lo que es esencial implementar prácticas de seguridad para evitar ser parte de una botnet, ya sea utilizada por un ciberdelincuente o un actor estatal.
Fuente y ampliar información en Trend Micro