Más ciberataques de Rusia a Singapur por la cumbre de USA y Corea del Norte
No es ningún secreto el bombardeo constante de ciberataques que mantiene Rusia contra EE.UU.
El pasado mes de abril el US-Cert, el organismo encargado de la seguridad informática en Estados Unidos, publicó un informe alertando sobre la actividad de espionaje generalizado que lleva a cabo Rusia a través de los routers instalados en pequeñas empresas americanas.
En este contexto de guerra cibernética, los especialistas en ciberseguridad de F5 Networks, compañía especializada en garantizar la seguridad de las aplicaciones, han detectado un incremento de los ataques dirigidos contra Singapur durante la celebración de la cumbre de USA y Corea del Norte en ese país el pasado 12 de junio.
Más concretamente, F5 señala que:
• Rusia fue el origen del 88% de los ataques contra Singapur durante el 12 de junio de 2018. El objetivo principal fueron los teléfonos VoIP y los dispositivos IoT.
• La actividad maliciosa consistió, principalmente, en exploraciones de reconocimiento en busca de sistemas vulnerables que se llevaron a cabo desde una única dirección IP de Rusia (188.246.234.60). Se produjeron también ataques reales que se originaron tanto en Rusia como en Brasil.
• El principal objetivo fue el protocolo SIP 5060, utilizado por los teléfonos IP. SIP es el protocolo que utilizan los teléfonos IP y 5060 es un puerto no encriptado. Hasta el momento, no es común que este puerto se convierta en objetivo de los ciberataques. En este caso, seguramente los hackers trataron de obtener acceso a teléfonos inseguros o quizá al servidor de voz sobre IP (VoIP).
• En segundo lugar se atacaron los puertos Telnet, utilizados para acceder de forma remota a cualquier dispositivo IoT. Telnet es el puerto de gestión remota más popular entre los ciberdelincuentes que buscan hacerse con el control de dispositivos conectados a Internet. En el caso de Singapur, seguramente se buscaba interceptar comunicaciones y recopilar datos.
• También fueron objetivo los puertos 7457, que permiten a los ISP (proveedores de servicios de Internet) administrar de forma remota los routers situados en las instalaciones de sus clientes. Este puerto ya ha sido utilizado en ciberataques pasados, como son Mirai y Annie, que en 2016 causaron pérdidas millonarias a muchos ISPs europeos. Los routers, normalmente, solo se protegen con contraseñas predeterminadas por sus fabricantes, algo que no supone ninguna barrera para los hackers. En este caso, seguramente se utilizó para llevar a cabo ataques tipo “Man in the middle”, a través de los que se puede redirigir el tráfico de la red y recopilar los datos transmitidos. Asimismo, F5 dice que es muy posible que se atacaran los puertos 8291 que utilizan los dispositivos PDoS.
En estos momentos, F5 no puede determinar el grado de éxito que alcanzaron estos ataques y tampoco tiene ninguna evidencia de que hayan sido patrocinados directamente por el gobierno ruso.
Para evitar este tipo de ataques, F5 recomienda:
• Proteger la gestión remota de cualquier dispositivo que tenga conexión a Internet con un firewall o una VPN. No permitir nunca la comunicación abierta de estos dispositivos en Internet.
• Cambiar siempre las contraseñas de los dispositivos que vienen predeterminadas por el fabricante.
• Llevar a cabo las actualizaciones de seguridad que indiquen los fabricantes de estos dispositivos.