Los hackers secuestran routers inalámbricos más de 300.000 , realizar cambios maliciososDispositivos hechas por D -Link , Micronet , Tenda , y TP -Link secuestrados en el ataque en cursoLos investigadores dijeron que han descubierto otro compromiso masivo de casa y routers inalámbricos de pequeña oficina , esta vez no se puedan realizar cambios en la configuración maliciosos a más de 300.000 dispositivos fabricados por D -Link , Micronet , Tenda , TP -Link , y otros.
Los hackers parecen estar usando una variedad de técnicas para comandar los dispositivos y realizar cambios en el sistema de nombres de dominio de los servidores ( DNS ) que se utilizan para traducir los nombres de dominio humano amigable a las direcciones IP utilizan los ordenadores para ubicar sus servidores web , de acuerdo con un informe publicado el lunes por los investigadores de la empresa de seguridad Team Cymru . Hacks probables incluyen una falsificación de petición en sitios cruzados descrito recientemente ( CSRF ) que permite a los atacantes inyectar una contraseña en blanco en la interfaz web de los routers TP -Link . Otras técnicas de ataque pueden incluir uno que permite a las contraseñas WPA/WPA2 inalámbricos y otros ajustes que se cambien de forma remota.Hasta el momento, los ataques han secuestrado a más de 300.000 servidores en una amplia gama de países, entre ellos Vietnam, India, Italia , Tailandia y Colombia . Cada transacción tiene el potencial para reorientar prácticamente todos los usuarios finales conectados a sitios web maliciosos que tratan de robar contraseñas bancarias o empujar software trampas explosivas - , los investigadores Team Cymru advertido . La campaña se produce semanas después de que investigadores de varias organizaciones no relacionadas descubrieron hacks de masas en curso separadas de otros routers , incluyendo un gusano que afectó a miles de routers Linksys y la explotan de una falla crítica en routers Asus que expone el contenido de los discos duros conectados por USB.Sin embargo, otra campaña recientemente descubierto dirigido a los clientes de banca online en Polonia trabajó en parte por la modificación de la configuración de DNS en casa routers . A su vez, los resolutores de nombres de dominios falsos que figuran en la configuración del router redirige ordenadores de las víctimas , las tabletas y los teléfonos inteligentes a sitios web fraudulentos haciéndose pasar por un servicio de banco auténtico. Los sitios maliciosos serían luego robar credenciales de acceso de las víctimas. El router ataque " pharming ", informó por Team Cymru parece ser parte de una campaña distinta dado su tamaño mucho más grande , la diversidad geográfica, y el hecho de que hasta el momento no hay indicios de que las búsquedas de DNS para sitios de bancos se ven afectados .
" La magnitud de este ataque sugiere una intención criminal más tradicional , como resultado de la búsqueda de redirección , en sustitución de los anuncios, o la instalación de descargas no autorizadas , todas las actividades que hay que hacer a gran escala para la rentabilidad", informe del lunes declaró . " Los más de forma manual intensivo transferencias de cuentas bancarias visto en Polonia serían difíciles de llevar a cabo en contra de un grupo tan grande y geográficamente dispares víctima. "
¿He sido hackeado ?El signo revelador de un router se ha visto comprometida es la configuración de DNS que se han cambiado a 5.45.75.11 y 5.45.76.36 . Investigadores Team Cymru en contacto con el proveedor que aloja esas dos direcciones IP , pero aún no han recibido una respuesta. Los representantes de los investigadores también contactaron privada de todas las manufacturas de routers ser hackeado con éxito en esta última campaña .
El informe del lunes es la última para subrayar los crecientes ataques de la vida real que se dirigen a las debilidades en los routers , módems y otros dispositivos que ejecutan el software incorporado . Una vez que el dominio de los equipos que ejecutan sistemas operativos de Microsoft , estos hacks en algunos casos, explotan los errores de software en el código subyacente. En otros casos, se apoderan de la utilización de las contraseñas predeterminadas u otros errores cometidos por las personas que utilizan los dispositivos de destino .
"A medida que los sistemas integrados comienzan a proliferar en las redes corporativas y de consumo, necesita más atención que debe darse a las vulnerabilidades que presentan estos dispositivos, " los investigadores escribieron Team Cymru . "La seguridad de estos dispositivos suele ser una preocupación secundaria para el costo y la facilidad de uso y tradicionalmente ha sido pasado por alto por los fabricantes y los consumidores. "
Dado el creciente éxito en comprometer a casa y routers de pequeña oficina , los usuarios deben revisar periódicamente sus dispositivos para asegurarse de que no son vulnerables a los tipos más comunes de exploits. Lo más importante que los lectores deben hacer es asegurarse de que el dispositivo se está ejecutando la versión más reciente disponible del firmware . Los lectores también deben deshabilitar las capacidades de administración remota , si no son necesarios . Si se necesitan, los usuarios deben limitar las direcciones IP remotas que pueden acceder al router. También es una buena idea revisar regularmente la configuración de DNS para asegurarse de que no han sido alterados . Cuando sea posible , puede ser útil para desactivar la interfaz web del router a favor de una línea de comandos ya que los interfaces son a menudo susceptibles a cross-site falsificaciones de petición y otros tipos de ataques que se dirigen a las debilidades de programación Web.Técnicas de petición en sitios cruzados falsificaciones son uno de los más utilizados por los routers de secuestro . En los últimos cinco meses , varios exploits han sido publicados muestran cómo usarlos para comprometer routers hechas por Zyxel y TP -Link. Curiosamente, este tipo de ataques a menudo deben ser lanzados desde otro dispositivo ya conectado al router de destino. No es inmediatamente claro cómo sucede esto . Una posibilidad es que un sitio web atacante rebota código malicioso de un dispositivo conectado, que a su vez la transmite al router.
Fuente:http://arstechnica.com/security/2014/03/hackers-hijack-300000-plus-wireless-routers-make-malicious-changes/
Traducción:Dellcom1@.
