Enrutadores DrayTek explotados por intrusos para espiar el tráfico y definir puertas traseras

Dos vulnerabilidades de día cero encontradas en los enrutadores DrayTek han sido explotadas por dos piratas informáticos diferentes durante meses y se han utilizado para espiar. Los piratas informáticos aquí parecían tener diferentes motivos, como si tuvieran acceso a múltiples dispositivos, simplemente se limitaran a espiar y colocar puertas traseras en la red. Y para evitar que esto crezca, DrayTek ha lanzado parches para vincular estas vulnerabilidades de día cero.

Esto fue detectado por primera vez por Qihoo, una empresa china de seguridad en Internet que publicó un informe explicando el exploit. Esto reveló dos grupos diferentes de piratas informáticos que explotan dos vulnerabilidades de día cero diferentes disponibles en los enrutadores corporativos de DrayTek, especialmente enrutadores como Fuerza 2960, 300B y 3900. El modus operandi de los atacantes es el siguiente:

Enrutadores DrayTek explotados por intrusos para espiar el tráfico y definir puertas traseras
Enrutadores DrayTek explotados por intrusos para espiar el tráfico y definir puertas traseras

Grupo A – Tráfico de espionaje

Como todavía no hay identificación, se nombró al primer grupo de piratas informáticos Un grupo y ha estado activo desde el 4 de diciembre según los informes de Qihoo. Además, afirma que el grupo ataca de manera complicada, abusando del mecanismo de inicio de sesión encriptado RSA para plantar y ocultar su código malicioso en el espacio de inicio de sesión del nombre de usuario. Y cuando los dispositivos DrayTek reciben credenciales cifradas, se descifran y dan acceso a los piratas informáticos a los dispositivos, por lo tanto a toda la red.

Aunque tenían el control total, los invasores no tenían intención de estropearlo después de todo. Cómo instalaron y ejecutaron un script en varios puertos para registrar el tráfico de correo electrónico (FTP, IMAP, SMTP y POP3). Y los datos recopilados se comprimen y se envían al servidor C2 remoto del pirata informático todos los lunes, miércoles y viernes. Esto es típico, ya que no están destinados a lanzar ningún ataque DDoS o redireccionamientos de tráfico fraudulentos, sino más bien a espiar. Esto puede conducir a un nuevo ataque si no se detiene.

Grupo B – Plantación de puertas traseras

El otro grupo de ataque, Grupo B no tan sofisticado como sus contrapartes, pero bueno para explotar las vulnerabilidades disponibles. El grupo aquí abusó de un error en el proceso de trampas, para ejecutar código malicioso y plantar puertas traseras para todos los dispositivos vulnerables. Esto fue realizado por primera vez en enero y publicado por Blog de Skull Army, que fue elegido por los delanteros del Grupo B apenas dos días después para explorarlo.

Exploración de Rick por Grupo B
Explotación de rtick del Grupo B para el revestimiento de puertas traseras

De acuerdo con ZDNet, un escaneo de BinayEdge reveló sobre 978.000 dispositivos de fuerza que están expuestos a amenazas potenciales. Pero es bueno que DrayTek ya tenga parches lanzados. Fueron liberados el 10 de febrero, poco después de los ataques del Grupo B en enero, y se recomienda corregirlos de inmediato.

Fuente: Qihoo Netlab