La xarxa pot llençar una extensa gamma d’activitats malicioses, que van des de robatoris de dades i campanyes de pesca fins a atacs DDoS.

L’investigador de seguretat David Brunsdon ha publicat un informe tècnic fa uns quants dies en què denuncia que hi ha actors d’amenaces que han aconseguit segrestar 13.000 encaminadors MicroTik per utilitzar-los com a botnet i, així, propagar programari maliciós. «Aquesta botnet o xarxa de zombis se serveix d’una xarxa global d’encaminadors Mikrotik per enviar correus electrònics maliciosos que estan dissenyats per aparentar provenir de dominis legítims», ha assenyalat. 

Brundson explica que, independentment de com hagin estat compromesos, l’actor d’amenaces hauria estat col·locant un script als dispositius que habilita SOCKS (Secure Sockets), els quals permeten que els dispositius funcionin com a redirectors TCP. 

«Habilitar SOCKS converteix efectivament cada dispositiu en un proxy, que emmascara el veritable origen del trànsit maliciós i dificulta el rastreig fins a la font», conclou.

El que resulta més preocupant a aquest investigador és la manca d’autenticació necessària per utilitzar aquests servidors intermediaris, la qual cosa permet que altres actors d’amenaces puguin utilitzar dispositius específics o tota la xarxa de zombis per a finalitats malicioses. Aquests van des de campanyes de pesca fins a atacs DDoS (de denegació de servei distribuïts). 

Milers de dominis, dominats

La campanya pot explotar una configuració incorrecta de 20.000 dominis, adoptar el seu nom i eludint diverses proteccions de seguretat del correu electrònic.

«Amb tants dispositius MikroTik compromesos, la xarxa de zombis és capaç de llançar una àmplia gamma d’activitats malicioses, des d’atacs DDoS fins a robatori de dades i campanyes de pesca», ha assenyalat Brunsdon. 

«L’ús de proxies SOCKS4 complica encara més els esforços de detecció i mitigació, cosa que ressalta la necessitat de mesures de seguretat sòlides», conclou.