360Netlab señala que se trata de la actividad más alta en comparación con otras redes de bots estudiadas anteriormente.
La interacción entre la red de bots y la «víctima» se produjo en varias etapas (véase la figura siguiente). En primer lugar, se escaneó el puerto TCP 5431. A continuación, se comprobó el puerto UDP 1900, al que se envió una secuencia específica, a la espera de que el dispositivo proporcionara una URL vulnerable como respuesta. Tras recibir el enlace vulnerable, se llevaron a cabo cuatro sesiones más con el dispositivo para determinar el punto de entrada para ejecutar el código shell en la memoria del dispositivo. Como resultado, el dispositivo se convirtió en un bot que realizaba las tareas de la botnet principal.
De cara al futuro, debemos señalar que los puertos 5431 y 1900 no se eligieron al azar, ya que el servicio UPnP suele funcionar en estos puertos. Esto significa que este servicio, que está habilitado de forma predeterminada en la mayoría de los dispositivos, tiene una vulnerabilidad. Más adelante veremos la lista de dispositivos.
Durante mucho tiempo, los expertos no pudieron detectar este problema. La dificultad radicaba en conseguir que el honeypot (un recurso que actúa como cebo para los atacantes) imitara un dispositivo en el escenario descrito anteriormente. No fue hasta octubre de 2018, tras un largo proceso de configuración, cuando lo consiguieron y lograron engañar a la botnet. El proyecto se denominó BCMUPnP_Hunter.
Investigaciones posteriores revelaron que la botnet tiene las siguientes características:
- El número de infecciones es muy alto, con aproximadamente 100 000 direcciones IP activas de escaneo en cada evento.
- El objetivo de la infección son principalmente los equipos de enrutamiento con la función BroadCom UPnP habilitada.
- El servidor del atacante envía correos electrónicos a través de esta botnet, que es esencialmente un servidor proxy. Actualmente, se están registrando solicitudes a servidores de correo conocidos como Outlook, Hotmail, Yahoo! Mail, etc. Los investigadores creen que el objetivo de los atacantes es enviar spam.
La frecuencia y el número de nodos de escaneo se pueden ver en el gráfico siguiente.
Como se puede observar, la actividad aumenta cada 1-3 días y, en algunos casos, alcanza los 100 000 nodos. El número total de nodos atacantes es de aproximadamente 3,34 millones, pero no se debe descartar que los mismos dispositivos puedan tener diferentes direcciones IP.
La ubicación geográfica de los sniffers se muestra en el mapa.
India lidera la lista con 147 700 nodos, seguida de Estados Unidos y China.
La lista de dispositivos vulnerables incluye muchas marcas populares, como Cisco, Zyxel, D-Link, Eltex y TP-Link. En total, hay alrededor de 116 dispositivos, pero los investigadores señalan que esta cifra podría ser mayor. A continuación se proporciona la lista completa.
Las consecuencias son obvias: el 100 % de las direcciones IP del proveedor están en la lista negra de los servicios antispam.
Es interesante observar que una gran proporción de los dispositivos vulnerables son enrutadores ADSL. Probablemente sea una coincidencia, pero no hay que olvidar que xDSL todavía se utiliza en muchos países en desarrollo con grandes poblaciones.
Stingray proporciona protección contra ataques DDoS, y la nueva versión incluye una función mini-Firewall, que describiremos en detalle próximamente en nuestro blog. Para obtener información más detallada sobre las ventajas de la plataforma, su uso eficaz en redes de telecomunicaciones, así como la migración desde otras plataformas y la integración con otros sistemas, póngase en contacto con los especialistas de VAS Experts, desarrollador y proveedor del sistema de análisis de tráfico Stingray Service Gateway.
Complete list of vulnerable devices
ADB Broadband S.p.A, HomeStation ADSL Router
ADB Broadband, ADB ADSL Router
ADBB, ADB ADSL Router
ALSiTEC, Broadcom ADSL Router
ASB, ADSL Router
ASB, ChinaNet EPON Router
ASB, ChinaTelecom E8C(EPON) Gateway
Actiontec, Actiontec GT784WN
Actiontec, Verizon ADSL Router
BEC Technologies Inc., Broadcom ADSL Router
Best IT World India Pvt. Ltd., 150M Wireless-N ADSL2+ Router
Best IT World India Pvt. Ltd., iB-WRA300N
Billion Electric Co., Ltd., ADSL2+ Firewall Router
Billion Electric Co., Ltd., BiPAC 7800NXL
Billion, BiPAC 7700N
Billion, BiPAC 7700N R2
Binatone Telecommunication, Broadcom LAN Router
Broadcom, ADSL Router
Broadcom, ADSL2+ 11n WiFi CPE
Broadcom, Broadcom Router
Broadcom, Broadcom ADSL Router
Broadcom, D-Link DSL-2640B
Broadcom, D-link ADSL Router
Broadcom, DLink ADSL Router
ClearAccess, Broadcom ADSL Router
Comtrend, AR-5383n
Comtrend, Broadcom ADSL Router
Comtrend, Comtrend single-chip ADSL router
D-Link Corporation., D-Link DSL-2640B
D-Link Corporation., D-Link DSL-2641B
D-Link Corporation., D-Link DSL-2740B
D-Link Corporation., D-Link DSL-2750B
D-Link Corporation., D-LinkDSL-2640B
D-Link Corporation., D-LinkDSL-2641B
D-Link Corporation., D-LinkDSL-2741B
D-Link Corporation., DSL-2640B
D-Link, ADSL 4*FE 11n Router
D-Link, D-Link ADSL Router
D-Link, D-Link DSL-2640U
D-Link, D-Link DSL-2730B
D-Link, D-Link DSL-2730U
D-Link, D-Link DSL-2750B
D-Link, D-Link DSL-2750U
D-Link, D-Link DSL-6751
D-Link, D-Link DSL2750U
D-Link, D-Link Router
D-Link, D-link ADSL Router
D-Link, DVA-G3672B-LTT Networks ADSL Router
DARE, Dare router
DLink, D-Link DSL-2730B
DLink, D-Link VDSL Router
DLink, DLink ADSL Router
DQ Technology, Inc., ADSL2+ 11n WiFi CPE
DQ Technology, Inc., Broadcom ADSL Router
DSL, ADSL Router
DareGlobal, D-Link ADSL Router
Digicom S.p.A., ADSL Wireless Modem/Router
Digicom S.p.A., RAW300C-T03
Dlink, D-Link DSL-225
Eltex, Broadcom ADSL Router
FiberHome, Broadcom ADSL Router
GWD, ChinaTelecom E8C(EPON) Gateway
Genew, Broadcom ADSL Router
INTEX, W150D
INTEX, W300D
INTEX, Wireless N 150 ADSL2+ Modem Router
INTEX, Wireless N 300 ADSL2+ Modem Router
ITI Ltd., ITI Ltd.ADSL2Plus Modem/Router
Inteno, Broadcom ADSL Router
Intercross, Broadcom ADSL Router
IskraTEL, Broadcom ADSL Router
Kasda, Broadcom ADSL Router
Link-One, Modem Roteador Wireless N ADSL2+ 150 Mbps
Linksys, Cisco X1000
Linksys, Cisco X3500
NB, DSL-2740B
NetComm Wireless Limited, NetComm ADSL2+ Wireless Router
NetComm, NetComm ADSL2+ Wireless Router
NetComm, NetComm WiFi Data and VoIP Gateway
OPTICOM, DSLink 279
Opticom, DSLink 485
Orcon, Genius
QTECH, QTECH
Raisecom, Broadcom ADSL Router
Ramptel, 300Mbps ADSL Wireless-N Router
Router, ADSL2+ Router
SCTY, TYKH PON Router
Star-Net, Broadcom ADSL Router
Starbridge Networks, Broadcom ADSL Router
TP-LINK Technologies Co., Ltd, 300Mbps Wireless N ADSL2+ Modem Router
TP-LINK Technologies Co., Ltd, 300Mbps Wireless N USB ADSL2+ Modem Router
TP-LINK, TP-LINK Wireless ADSL2+ Modem Router
TP-LINK, TP-LINK Wireless ADSL2+ Router
Technicolor, CenturyLink TR-064 v4.0
Tenda, Tenda ADSL2+ WIFI MODEM
Tenda, Tenda ADSL2+ WIFI Router
Tenda, Tenda Gateway
Tenda/Imex, ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT
Tenda/Imex, ADSL2+ WIFI-MODEM WITH EVO SUPPORT
UTStarcom Inc., UTStarcom ADSL2+ Modem Router
UTStarcom Inc., UTStarcom ADSL2+ Modem/Wireless Router
UniqueNet Solutions, WLAN N300 ADSL2+ Modem Router
ZTE, Broadcom ADSL Router
ZTE, ONU Router
ZYXEL, ZyXEL VDSL Router
Zhone, Broadcom ADSL Router
Zhone, Zhone Wireless Gateway
Zoom, Zoom Adsl Modem/Router
ZyXEL, CenturyLink UPnP v1.0
ZyXEL, P-660HN-51
ZyXEL, ZyXEL xDSL Router
huaqin, HGU210 v3 Router
iBall Baton, iBall Baton 150M Wireless-N ADSL2+ Router
iiNet Limited, BudiiLite
iiNet, BoB2
iiNet, BoBLite
