AT&T informó que un malware nocivo afectó a 5,700 de sus suscriptores en Estados Unidos, robándoles sus datos y penetrando sus redes. Así lo reveló un nuevo informe de una compñaía china experta en ciberseguridad.
Los ataques provocados por el malware fueron descubiertos por un grupo de investigadores de la firma de seguridad Qihoo 360 y descubrieron que el ataque cibernético se dirigió a al menos a 5.700 suscriptores de AT&T con sede en Estados Unidos.
En este caso particular, el malware en cuestión parece haberse filtrado en los dispositivos periféricos de la red empresarial de los usuarios a través de un error que se descubrió, por vez primera en 2017.
Los dispositivos periféricos, que ayudan a las empresas a conectar sus redes a los ISP (Internet service provider, en este caso, AT&T), son objetivos habituales de malware y de ciberataques.
Los dispositivos afectados, de acuerdo con la investigación antes referida fueron los EdgeMarc Enterprise Session Border Controllers (controladores de borde de sesión empresarial, SBC), producidos por Ribbon Communications.
Los SBC's se usan para proteger las redes de VolP, y gracias a sus funciones se puede mejorar el rendimiento, minimizando las fugas de seguridad, además de aumentar la fiabilidad del sistema.
El malware comprometió dihcos controladores a través de un error, rastreado como CVE-2017-6079, para el cual aparentemente se emitió un parche en 2018. Sin embargo, si los usuarios nunca repararon dicha falla de seguridad, los habría dejado expuestos a muchos problemas.
¿Qué tipo de ataques habilita el malware?
Los investigadores de Qihoo 360 dicen que el malware aparentemente tiene la capacidad de habilitar ataques DDoS, escaneo de puertos, administración de archivos y la ejecución de comandos arbitrarios. Asimismo, el robo de datos y la interrupción de los servicios estarían en juego, hipotéticamente.
Existe la duda de cuántos dispositivos se han infectado realmente. Ars Technica, que inicialmente informó sobre la investigación, señaló que "no está claro si AT&T o el fabricante de EdgeMarc Edgewater (ahora llamado Ribbon Communications) alguna vez revelaron la vulnerabilidad a los usuarios", pero estiman que el malware podría ser mucho mayor que los 5.700 dispositivos que los investigadores observaron inicialmente.
“Todas las 5.7k de víctimas activas que vimos durante el corto período de tiempo estaban ubicadas geográficamente Estados Unidos”, revelaron los investigadores.
Sin embargo, aseguraron que la cantidad de dispositivos que utilizan el mismo certificado TLS es aparentemente de unos 100,000:
“No estamos seguros de cuántos dispositivos correspondientes a estas IP podrían estar infectados, pero podemos especular que como pertenecen a la misma clase de dispositivos el posible impacto es real”, dedujeron.
Sigue a Heraldo Binario en Google News, dale CLIC AQUÍ.