Alerta por control de routers D-Link por la botnet AryStinger
Publicado el
La amenaza de AryStinger
Investigadores han descubierto que la botnet AryStinger ha tomado el control de miles de routers D-Link que han llegado al final de su vida útil, así como de algunos dispositivos de almacenamiento conectado a la red (NAS). Esta situación ha transformado estos dispositivos en una red de escaneo y proxy distribuida que los atacantes pueden utilizar para ocultar sus actividades y llevar a cabo ataques contra otros objetivos.
La botnet está compuesta principalmente por routers D-Link DIR-850L y DIR-818LW, que, a pesar de ser modelos obsoletos, siguen siendo comúnmente utilizados en hogares y pequeñas oficinas. Esto los convierte en objetivos atractivos para los operadores de botnets. Los atacantes han explotado vulnerabilidades que fueron reveladas hace 13 años para comprometer un número considerable de estos dispositivos. Según los investigadores, “al menos 4,300 routers en todo el mundo ya han sido infectados, y el número sigue aumentando”.
Al dirigirse a routers que ya no cuentan con soporte del fabricante, los atacantes obtienen acceso a dispositivos que no recibirán parches de seguridad, pero que permanecen conectados a Internet. AryStinger transforma cada dispositivo infectado en lo que los investigadores denominan un “Executor”, que es un nodo controlado de forma remota capaz de escanear redes, actuar como proxy, crear túneles y ejecutar comandos en nombre del atacante. El controlador de la botnet divide grandes tareas de reconocimiento en muchas más pequeñas y las distribuye entre estos Executors, convirtiendo así una flota de routers de consumo en una plataforma de escaneo a gran escala.
Funciones peligrosas de AryStinger
El objetivo principal de la botnet es realizar un reconocimiento a gran escala. El controlador tiene la capacidad de: - Ejecutar trabajos de escaneo (para rangos de IP, puertos abiertos, registros DNS) en paralelo en múltiples Executors. - Utilizar los resultados obtenidos para mapear redes, identificar nuevos servicios vulnerables y preparar futuras compromisos (footprinting).
Una de las capacidades más preocupantes para los propietarios de los dispositivos infectados es la habilidad de AryStinger para manipular la configuración de DNS. Esto permite a los atacantes: - Redirigir el tráfico de los navegadores de las víctimas a páginas de phishing o sitios que alojan malware. - Monitorizar silenciosamente y potencialmente robar todo el tráfico de red entrante y saliente que pasa a través del router o NAS. Esto puede poner en riesgo a dispositivos que, de otro modo, estarían bien protegidos. Móviles, tabletas y ordenadores portátiles conectados al router comprometido también pueden ser redirigidos.
Indicadores de compromiso
Para los propietarios de un router o NAS afectado, los signos inmediatos pueden ser sutiles o incluso inexistentes. Algunos indicadores a tener en cuenta son: - Conectividad ligeramente más lenta. - Fallos o redirecciones DNS inexplicables. - Picos en el tráfico saliente en momentos inusuales.
Consecuencias de la infección
Los riesgos subyacentes son lo suficientemente graves: - Privacidad: Los atacantes pueden inspeccionar o redirigir el tráfico, capturando nombres de usuario, contraseñas, cookies de sesión u otros datos sensibles. - Responsabilidad y reputación: La dirección IP de un usuario podría ser utilizada para fraudes, ataques de credential stuffing, acoso u otras actividades criminales, lo que podría atraer la atención de proveedores de servicios o de las fuerzas del orden. - Acceso a la red interna: En dispositivos NAS comprometidos, los atacantes podrían mapear redes internas y buscar sistemas adicionales para atacar.
Medidas a tomar
No es la primera vez que los atacantes construyen una botnet a partir de equipos de red abandonados. La solución más efectiva, aunque menos popular, es reemplazar los routers y dispositivos NAS que han llegado al final de su vida útil. Si esto no es una opción inmediata, se pueden tomar algunas medidas para dificultar la explotación del dispositivo: - Aplicar el firmware más reciente disponible, aunque sea antiguo, y revisar cualquier aviso de seguridad del fabricante sobre vulnerabilidades conocidas. - Cambiar la contraseña de administrador predeterminada por una única y fuerte; nunca reutilizar contraseñas de otras cuentas. - Desactivar la gestión remota desde Internet (WAN) y acceder a la interfaz de administración solo desde la red interna. - Utilizar cifrado inalámbrico WPA2 o WPA3 y establecer una contraseña Wi-Fi robusta para reducir el riesgo de abusos locales. - Si el router lo permite, desactivar servicios no utilizados como UPnP en el lado WAN o protocolos de acceso remoto obsoletos. - Ejecutar un análisis de malware en los ordenadores y otros dispositivos conectados al router para verificar si alguno ha sido infectado durante la manipulación del tráfico.
A pesar de seguir todas estas recomendaciones, un router que ha llegado al final de su vida útil debe considerarse no confiable. Se deben hacer planes para reemplazarlo lo antes posible.