A los hackers les encanta lo antiguo. ¿Por qué los botnets infectan routers que ya deberían estar en un museo?
Expertos explican cómo una sola brecha en el perímetro puede paralizar toda una planta.
En tres meses de observación, los especialistas de Forescout registraron más de 60 millones de solicitudes atacantes dirigidas a dispositivos en el perímetro de redes industriales. El análisis de la actividad en las trampas mostró: los dispositivos perimetrales — enrutadores industriales y cortafuegos — se convierten en objetivo de ataques con mucha más frecuencia que los que quedaron expuestos por accidente. Fueron ellos los que recibieron dos tercios de toda la actividad maliciosa.
Gran parte de las solicitudes correspondieron a SSH y Telnet, siendo la principal amenaza los intentos automatizados de adivinar nombres de usuario y contraseñas. Las solicitudes HTTP y HTTPS, que representaron casi una cuarta parte de la actividad, incluían intentos de explotar vulnerabilidades y de descargar archivos maliciosos.
Entre las amenazas más destacadas se encontraron las botnets RondoDox y ShadowV2. La primera, detectada solo en mayo, ya emplea más de 50 exploits, algunos de los cuales no tienen identificadores públicos. La segunda, surgida más tarde, también está ganando fuerza rápidamente. Ambas emplean el mismo método: intentan ejecutar comandos que descargan binarios maliciosos en el dispositivo vulnerable.
Un grupo de actividad que despertó especial interés se denominó Chaya_005. Se comporta de manera atípica: entre las solicitudes HTTP enviadas hay exploits con errores, parámetros que no coinciden con los dispositivos objetivo, pero todas las acciones muestran el intento de obtener una respuesta de un sistema potencialmente vulnerable. Esto no se parece al comportamiento típico de las botnets, aunque podría ser un método para crear una lista de objetivos para uso posterior, ya sea para cargar software malicioso, mineros de criptomonedas o proxies.
Chaya_005 opera desde al menos dos años. Inicialmente su actividad estaba vinculada con la explotación de una vulnerabilidad conocida en enrutadores Sierra Wireless, pero con el tiempo el grupo se trasladó a otros dispositivos y direcciones. Es interesante que algunas direcciones IP se reutilizaron con un intervalo de un año, y los archivos maliciosos no llegaron a ser cargados, lo que sugiere de manera indirecta un carácter investigador o preparatorio de la campaña. Además, las direcciones IP involucradas en los ataques no mostraban indicios de otro tipo de infección ni aparecían en actividades maliciosas típicas.
No se puede descartar que detrás de Chaya_005 haya una estructura investigadora más que maliciosa, aunque ese escenario parece improbable. Según los autores del informe, la mayor amenaza son los intentos de explotar enrutadores que alcanzaron el fin de su soporte. Por ejemplo, el modelo atacado LS300 carece de actualizaciones de seguridad desde 2021, y el fin del soporte de las redes 3G reduce aún más su vigencia como objetivo. No obstante, este tipo de dispositivos siguen presentes en el sector industrial.
Los autores subrayan que, en condiciones de integración cada vez mayor entre TI y OT, no se pueden separar las amenazas en «informativas» y «operativas». Uno de los incidentes pasados en el sector energético de Dinamarca, cuando las empresas pasaron a un modo de funcionamiento aislado, fue causado por la infección de enrutadores perimetrales de la red que inicialmente estaban destinados al entorno de TI. Estos casos no son aislados: una vulnerabilidad similar en la infraestructura persiste en toda Europa.
Para proteger las redes, los especialistas recomiendan identificar todos los dispositivos, cambiar las contraseñas predeterminadas, desactivar los servicios no utilizados, aislar los dispositivos OT del internet público e implementar sistemas de monitoreo capaces de reconocer intentos de intrusión y actividad anómala.
Las huellas digitales son tu debilidad, y los hackers lo saben