El Botnet Mirai ahora atacó a Routers y dejó sin Internet a 41 millones de usuarios
El botnet Mirai sigue causando estragos a nivel mundial. Publicar su código no fue exactamente una buena idea en pasado mes de octubre. Este malware diseñado para el Internet de las Cosas se aprovecha de lo vulnerable que son este tipo de dispositivos, que suelen utilizar contraseñas sencillas del tipo ‘123456’, ‘admin’ o ‘root’, entre los que se encuentran cámaras de seguridad o dispositivos aparentemente inofensivos como frigoríficos. Después de tomar el control de estos dispositivos, se utilizan para lanzar ataques DDoS.
Con este botnet se consiguió lanzar el ataque DDoS más potente de la historia hasta ahora contra DynDNS, encargado de resolver las direcciones de servicios tan populares como Twitter o Spotify, haciendo que estuvieran caídos durante un día entero.
Entre el domingo y el lunes, los millones de usuarios afectados en Alemania por este ataque no pudieron acceder ni a Internet ni a los servicios de televisión por Internet, y no podrán hacerlo hasta que no reinicien su router e instalen el último firmware lanzado para arreglar estos fallos en los routers. En concreto, los modelos afectados abarcan a fabricantes como Zyxel, Speedport o D-Link.
Estos routers dejan abierto el puerto 7547 a conexiones externas mediante comandos basados en los protocolos TR-069 y TR-064. Estos protocolos están pensados para realizar control remoto de dispositivos, y es para ello para lo que lo utilizan los operadores afectados. Para comprobar que el ataque se realizaba de esta manera, el SANS Internet Storm Center ha establecido honeypots haciéndose pasar por routers vulnerables, los cuales recibían exploits cada 5 y 10 minutos.
En total, son 41 millones de dispositivos a nivel mundial los que dejan abierto el puerto 7547, mientras que 5 millones permiten el acceso remoto a través del protocolo TR-064. El exploit constaba tres ataques; dos a chips MIPS, y el tercero a routers con chips ARM. El exploit procede a abrir el puerto 80 para la administración web remota, y prueba las contraseñas por defecto de los routers. Una vez dentro, cierra el puerto 7547 para evitar que otros criminales tomen el control de los dispositivos.
Según afirman desde Kaspersky Labs, las direcciones IP de control a las que responde los botnets son direcciones asignadas al ejército norteamericano, en un intento de ‘trolleo’ a las autoridades por parte de los atacantes.
Por tanto, el exploit del protocolo TR-069 supone la segunda gran actualización que el botnet Mirai ha recibido desde que se publicó en octubre. Para aseguraros de que no estáis infectados, recomendamos como siempre que cambiéis la contraseña por defecto para acceder al menú de configuración de vuestro router, así como deshabilitar la administración remota si no la utilizáis.
