infección de routers de movistar

Posted by Carlos Ganoza on 08 Apr, 2014

El otro día me pasó algo muy curioso, luego de recoger mi smartphone de servicio técnico de claro me percaté que no podía acceder a internet mediante wifi (hacer uso de las apps de facebook y gmail para ser mas exacto), al principió creí que era mi router que estaba fallando, pero luego al intentar conectarme desde mi laptop no tenía problemas, al insistir un poco mas intentando entrar a google me apareció esto:


me pareció muy extraño y me puse a revisar la configuración avanzada del wifi y me topé con esta DNS extraña configurada en mi dispositivo:

me asusté y luego del ataque de panico cambié las DNS por las de google y me puse a pensar en que pudo haber pasado, quizás en el soporte técnico me habían cambiado las DNS?, algún malware entro a mi smartphone?.

Luego me dispuse a “googlear” dicha IP, cuando OH SORPRESA! me aparece lo mismo en el navegador de mi laptop WDF!!! si yo uso linux, es imposible que me infecte!!! si linux es el sistema mas mejor del mundo mundial!! [si eres talibán y usas arch o similares no leas esto]mi distro es ubuntu para ser mas exacto [/si eres talibán y usas arch o similares no leas esto].

Esta supuesta actualización de flash player en realidad descargaba un malware que es detectado por la mayoría de antivirus:

link del análisis de virus total: https://www.virustotal.com/en/file/cc0c03e84df0359dde1871ee1ace38967663973bde3ade4b94174c232b18b6c3/analysis/

entonces era evidente, habían comprometido mi router, esto lo pude comprobar luego de revisar la configuuración del mismo (un billion bipac 5200 que ya pasó a mejor vida).

Todo esto me hizo acordar a mi charla del limahack 2011 routers: contraseñas por defecto donde yo mismo decía cuidado con usar DHCP!!…y no lo puse en practica esta vez fail.

Pero al no usar las credenciales por defecto para ingresar a la configuración de mi router era obvio que este tenía una vulnerabilidad, y me lo confirmó el amigo Alguien, quien hasta un exploit había escrito para esta, luego de concluir que yo era el ultimo en enterarme de la vulnerabilidad y que el que me hackeó fue Alguien XD me entero que lo mio no fue un caso aislado, pues según la prensa local veo que muchos usuarios han reportado problemas similares anteriormente: http://www.larepublica.pe/06-01-2014/usuarios-reportan-fallas-en-internet-de-movistar-peru

donde según el experto la solución momentánea está en reiniciar el router y estarás protegido unos 3 días aproximadamente LOL , apuesto a que te hizo acordar al soporte técnico de movistar no???? nooooo??????.

En conclusión habían estado re-dirigiendo mi trafico a un portal malicioso para que yo descargara malware, y quien sabe si probablemente eh puesto mis credenciales en portales falsos (redes sociales, correos electrónicos y cuentas bancarias de miles de millones de dolares?) resueltos maliciosamente por las DNS del atacante, pues todas las resoluciones de IP han pasado por su servidor (ya cambie todas mis contraseñas y de router!)

Pues solo puedo recomendar que tengan cuidado con su router, tengan actualizada la ultima versión del firmware y no usen DHCP, o por lo menos configuren las DNS manualmente en sus dispositivos.

Tienes alguna otra sugerencia ?


Carlos Ganoza

Software engineer with more than 6 years of experience, I have been involved in different aspects of software development, InfoSec and open-source. I <3 Python.