Casi un millón de routers sucumbieron en noviembre del año pasado al mayor ciberataque de la historia de Alemania. Compartimos contigo las claves de este grave incidente para la seguridad de las comunicaciones.
Alemania estaba lista para celebrar oficialmente para las fiestas a finales de noviembre. Los famosos mercadillos navideños como el Christkindle en Nuremberg se preparaban en todas las ciudades. La gente celebra el anuncio de la Navidad encendiendo las primeras cuatro velas de la corona de Adviento. Era el día 27 de noviembre de 2016, primer domingo de Adviento. Pero en medio del jubileo, una amenaza se cernía sobre los alemanes.
Muchos alemanes recordarán ese domingo de Adviento como un día de especial calma… Y es que cerca de un millón de routers DSL (en su mayoría equipos de la mayor operadora de Alemania dejaron de funcionar a causa de ataques cibernéticos.
Los detalles del ciberataque masivo de Mirai
Alrededor de un millón de clientes se quedaron sin Internet, telefonía IP o TV vía IP. Ha sido el mayor ciberataque registrado en Alemania hasta la fecha. Pero el incidente no solo afectó a Alemania: unos 100.000 routers DLS también dejaron de funcionar en Reino Unido. Al parecer, el caos fue producto de una cepa de botnets Mirai.
El Malware conocido como Mirai (en japonés, “el futuro”), ataca sistemas informáticos basados en Linux. El objetivo es convertirlos en bots (robots) controlados a distancia y usarlos en botnets para llevar a cabo ataques a gran escala. En inglés, el término botnet es una combinación de las palabras red y robot. El código fuente de Mirai aparece publicado como código abierto en foros de hackers, por lo que puede usarse en numerosos proyectos de malware.
El protocolo de comunicación TR-069 registró una ola de ciberataques a nivel mundial. Los comandos TR-064 trataron de poner en peligro los routers al instalar malware e integrarlo en una botnet del Internet de las Cosas (IoT). El plan de los hackers era que los equipos infectados atacaran al resto de dispositivos.
El ataque a los routers alemanes podría haber sido mucho más grave…
Al final, solo la primera parte del ataque tuvo éxito y se evitaron daños mayores. Aunque se aceptó la conexión al protocolo TR-069 a través del puerto 7547, los equipos no se vieron comprometidos porque el sistema operativo de los routers no era Linux.
Si bien el ataque causó una denegación de servicio, los equipos no estuvieron en peligro. Sin embargo, al inundar a los routers con solicitudes TR-069, los dispositivos abrieron un gran número de conexiones que no cerraron de la manera prevista y que acabaron por traducirse en un apagón. Gracias a las actualizaciones para routers DSL, el problema se solventó en uno o dos días.
Si tenemos en cuenta lo que pudo haber pasado, los inconvenientes para los clientes de la operadora fueron mínimos. Sin embargo, las tiendas online sí se vieron muy perjudicadas (especialmente debido al comienzo de la campaña navideña).
Teldat cuenta con una larga trayectoria en el mercado de la informática y las telecomunicaciones y es socio y proveedor de las principales operadoras alemanas. Aunque el ciberataque no tuvo el éxito previsto, el apagón fue producto de un fallo de seguridad en los protocolos de gestión remota.
La arquitectura de sistemas de los dispositivos Teldat no presenta esta vulnerabilidad y, por tanto, nuestros equipos no se vieron afectados.
Tu seguridad es la máxima prioridad para nosotros.