Los servidores DNS
son los encargados de traducir las URL que nosotros introducimos en el
navegador por las direcciones IP correspondientes de manera que el router sepa
hacia dónde debe enviar los paquetes. Los DNS más comunes suelen ser los que
nos ofrecen los proveedores de Internet, además de los conocidos de Google (8.8.8.8),
Cloudflare (1.1.1.1) e IBM (9.9.9.9). Sin embargo, los piratas informáticos
también tienen sus propios servidores DNS, servidores que suelen utilizar para
engañar a los usuarios y reenviar el tráfico de estos hacia webs falsas y
peligrosas, tal como hace GhostDNS.
Después de VPNFilter,
varios investigadores de seguridad vuelven a avisar sobre una nueva campaña
maliciosa a través de Internet, llamada GhostDNS, cuya principal finalidad es
cambiar los DNS de los routers para reenviar el tráfico de los usuarios a
páginas web maliciosas, falsas, controladas por los propios piratas
informáticos.
Esta campaña afecta a
más de 70 modelos de routers diferentes y, a través de una botnet, se usa la
fuerza bruta para lograr acceder a los routers, o utilizando el exploit
dnscfg.cgi para saltarse la página de login.
El módulo de GhostDNS
encargado de cambiar la configuración de los DNS de los routers es DNSChanger.
Este módulo cuenta con más de 100 scripts que se ejecutan hasta dar con el que
consiga cambiar esta configuración en los routers vulnerables.
Además de este módulo
de cambio de DNS, este malware cuenta con otros módulos para tomar el control
del router, módulos como un panel de administrador que seguramente dé control a
los piratas informáticos sobre el router de forma remota y otros componentes
relacionados con el DNS, como una base de datos de dominios relacionados con
bancos, servicios en la nube y el módulo encargado de resolver los dominios
legítimos para enviarlos a las webs falsas.
De momento esta nueva
amenaza informática está centrada en Brasil, aunque dada su naturaleza es muy
fácil de escalar y llevar a otros países del mundo, por lo que debemos
asegurarnos de proteger cuanto antes nuestros routers para no caer en las
garras de GhostDNS.
Cómo proteger nuestro router de GhostDNS
Como podemos ver en
la anterior captura, este malware usa principalmente la fuerza bruta para
lograr acceder a los routers de las víctimas. Por ello, una de las primeras
medidas de seguridad que debemos aplicar en nuestro router es cambiar la
contraseña por defecto por otra contraseña segura que no pueda ser adivinada
por fuerza bruta.
Por seguridad,
también sería recomendable descargar la última versión del firmware desde la
página web principal del fabricante e instalarla en el router. Si ya tenemos la
última versión, sería aconsejable volver a flashear el firmware (y borrar la
configuración actual) de manera que, si hemos sido ya infectados, podamos
eliminar la amenaza.
Por último, otro
consejo de seguridad es revisar manualmente la configuración DNS de nuestro
router. Si estamos utilizando unos DNS conocidos y fiables, como los de Google,
por ejemplo, entonces no deberíamos tener problemas. Si tenemos otros
servidores configurados, seguramente nuestro router esté comprometido, y
deberíamos, además de cambiar los DNS del router, seguir los dos pasos
anteriores cuanto antes para, además de mejorar nuestra seguridad, mejorar la
conexión usando los mejores DNS para nuestra red.
Si, además, al
intentar en una web, como Netflix, vemos cualquier sospecha, puede que nuestro
router, o nuestro PC, esté reenviando el tráfico a otros servidores. Debemos
poner remedio a esto cuanto antes para restablecer nuestra seguridad.
Fuente: gbhackers
