Anonymous y Co. crean una botnet de miles de enrutadores domésticos y de oficina

La compañía Incapsula, dedicada a la investigación en el campo de la seguridad de la información, informa que cierto grupo (muy probablemente con Anonymous) creó una red de bots de miles de enrutadores instalados en oficinas y apartamentos. En este caso, ni siquiera se utilizaron las vulnerabilidades de los enrutadores, sino la falta de atención de los propietarios a la seguridad cuando el usuario deja el nombre de usuario y la contraseña predeterminados. Los enlaces de inicio de sesión / contraseña predeterminados para casi todos los modelos de enrutadores se conocen desde hace mucho tiempo, por lo que puede utilizar este método sin dificultad.

Sin embargo, el trabajo de los creadores de la botnet se hizo sólido: los enrutadores de EE. UU., Tailandia y Brasil se combinaron en una sola red. La botnet comenzó a funcionar a fines de diciembre de 2014, alcanzando docenas de objetivos. Utilizando el ancho de banda de los canales de comunicación del hogar y la oficina, los atacantes crearon un arma bastante poderosa que se utilizó contra todo tipo de objetivos en línea.



Se sospecha que Anonymous participa por una razón, pero por una razón seria: muchos enrutadores comprometidos transmitieron datos al servidor de AnonOps.com, el punto de reunión de Anonymous. Quizás este grupo no fue el único que participó en la creación de la botnet.

La actividad de la botnet se notó por primera vez el año pasado, cuando Incapsula comenzó a recibir quejas de sus clientes que sufrieron la operación de la botnet (tanto directa como indirectamente). La investigación adicional de que la formación de la botnet fue posible gracias a la apertura de miles de enrutadores con configuraciones de fábrica para la entrada.

Se podía acceder a todos los enrutadores a través de HTTP y SHH, con puertos predeterminados. Al mismo tiempo, el equipo no fue pirateado manualmente, sino que utiliza un software especial. Este software infectó a los enrutadores vulnerables, que luego buscaron "víctimas", infectando los dispositivos disponibles. El script funcionó de manera eficiente, lo que permitió unir miles de dispositivos en una sola red. Para evitar entrar en las listas negras, se utilizó una exploración de red distribuida. Al mismo tiempo, los atacantes utilizaron varios tipos de software a la vez, incluido el popular troyano MrBlack, así como software desconocido que aún no se ha identificado.

Puede encontrar un informe completo de Incapsula sobre este tema aquí .