Ciberatacantes vinculados a Rusia usan routers mal configurados para operar
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos ha alertado sobre el uso de routers mal configurados por ciberatacantes vinculados a Rusia. Estos atacantes aprovechan dispositivos de red vulnerables para ocultar sus operaciones.
Los atacantes buscan routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. Si el servicio está expuesto y acepta credenciales comunes o las que venían configuradas de fábrica, el equipo puede responder a alguien que no debería tener acceso. Los atacantes envían tráfico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo.
“Si el servicio está expuesto y acepta credenciales comunes o las que venían configuradas de fábrica, el equipo puede responder a alguien que no debería tener acceso”
Una vez que un router es comprometido, se convierte en un nodo de salida, es decir, el último punto visible antes de que el tráfico llegue al objetivo. Esto hace que la actividad no parezca proceder de sistemas vinculados al FSB, sino de una dirección IP de apariencia legítima. Los sectores objetivo incluyen redes de comunicaciones, defensa, energía, servicios financieros y organismos públicos.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos recomienda desactivar SNMP 1 y 2, versiones que no cifran las contraseñas ni incorporan protocolos de autenticación seguros. Esto puede ayudar a prevenir el uso de routers como intermediarios para operaciones maliciosas. La seguridad de los dispositivos de red es crucial para prevenir ataques cibernéticos, y la configuración segura de los routers es un paso importante en esta dirección.