Las autoridades de seguridad británicas advirtieron este martes que un equipo de hackers vinculado a la inteligencia militar rusa está utilizando dispositivos domésticos y de pequeñas oficinas vulnerables para llevar a cabo actividades de ciberespionaje. Estos ataques tienen como objetivo secuestrar el tráfico web para vigilar a las víctimas y robar información confidencial.
En un informe técnico, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido señaló que el grupo de hackers modifica la configuración de los routers para redirigir el tráfico de internet hacia servidores bajo su control. El NCSC, que forma parte de la sede de comunicaciones del gobierno británico (GCHQ), ha evaluado con un alto grado de confianza que detrás de esta operación se encuentra la unidad 26165 del GRU, el servicio de inteligencia militar ruso.
Métodos de ataque y explotación de vulnerabilidades
El grupo de hackers es ampliamente conocido en el ámbito de la ciberseguridad bajo alias como APT28, Fancy Bear y BlueDelta. Esta campaña se centra principalmente en diversos modelos de routers fabricados por TP-Link. Estos dispositivos suelen estar expuestos directamente a internet, ya sea por el uso de contraseñas débiles o por ejecutar software desactualizado.
Según el análisis del NCSC, los atacantes aprovechan vulnerabilidades en el Protocolo Simple de Administración de Red (SNMP) para obtener acceso. Muchos dispositivos aún utilizan la versión SNMP v2, que no está cifrada, lo que permite a los atacantes interceptar credenciales y enviar comandos maliciosos de forma remota. Una vez que logran infiltrarse en el router, los hackers pueden recopilar información sobre los dispositivos conectados, mapear la red y, posteriormente, ejecutar ataques de "hombre en el medio" mediante la modificación de la configuración del Sistema de Nombres de Dominio (DNS).
Este tipo de ataque permite a los hackers interceptar credenciales de inicio de sesión y tokens de autenticación, o redirigir a los usuarios hacia sitios web fraudulentos. El NCSC indica que los atacantes suelen realizar escaneos masivos para identificar dispositivos vulnerables antes de lanzar ataques precisos contra objetivos de interés estratégico.
El Reino Unido ha acusado anteriormente a este grupo de participar en ciberataques de gran escala, incluidos el asalto al Parlamento alemán en 2015 y el intento de interferir en el análisis de agentes neurotóxicos por parte de la Organización para la Prohibición de las Armas Químicas en 2018. Paul Chichester, director de operaciones del NCSC, subrayó que este incidente pone de manifiesto cómo las debilidades en dispositivos de uso común pueden ser fácilmente explotadas por actores estatales.
"Recomendamos encarecidamente a las organizaciones y a los defensores de la red que se familiaricen con las técnicas descritas en el informe y sigan las recomendaciones de mitigación", afirmó Chichester. "El NCSC continuará exponiendo las actividades cibernéticas maliciosas de Rusia y proporcionando guías prácticas para proteger las redes del Reino Unido".
Para prevenir este tipo de amenazas, el NCSC recomienda a las entidades restringir o deshabilitar estrictamente los servicios SNMP innecesarios, actualizar a versiones de protocolos más seguras y asegurarse de que todos los dispositivos de red cuenten con los parches de seguridad más recientes.
