Rusia intensificó los ciberataques contra Singapur durante la cumbre entre Trump y Kim Jong-un

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

El pasado mes de abril el US-Cert, el organismo encargado de la seguridad informática en Estados Unidos, publicó un informe alertando sobre la actividad de espionaje generalizado que lleva a cabo Rusia a través de los routers instalados en pequeñas empresas americanas.

En este escenario, que F5 Networks califica de “guerra cibernética”, sus especialistas han detectado un incremento de los ataques dirigidos contra Singapur durante la celebración de la cumbre de Estados Unidos y Corea del Norte en ese país el pasado 12 de junio.

Según esta firma, Rusia fue el origen del 88% de los ataques contra Singapur durante ese día, y el objetivo principal fueron los teléfonos VoIP. En concreto, fue el protocolo SIP 5060, utilizado por los teléfonos IP. SIP es el protocolo que utilizan los teléfonos IP y 5060 es un puerto no encriptado. “Hasta el momento, no es común que este puerto se convierta en objetivo de los ciberataques. En este caso, seguramente los hackers trataron de obtener acceso a teléfonos inseguros o quizá al servidor de voz sobre IP (VoIP)”, dicen sus expertos.

También explican que la actividad maliciosa consistió, principalmente, en exploraciones de reconocimiento en busca de sistemas vulnerables que se llevaron a cabo desde una única dirección IP de Rusia (188.246.234.60). Se produjeron también ataques reales que se originaron tanto en Rusia como en Brasil.

En segundo lugar se atacaron los puertos Telnet, utilizados para acceder de forma remota a cualquier dispositivo IoT. Telnet es el puerto de gestión remota más popular entre los ciberdelincuentes que buscan hacerse con el control de dispositivos conectados a Internet. “En el caso de Singapur, seguramente se buscaba interceptar comunicaciones y recopilar datos”, sugieren.

Por otro lado, también fueron objetivo los puertos 7457, que permiten a los ISP (proveedores de servicios de Internet) administrar de forma remota los routers situados en las instalaciones de sus clientes.  Este puerto ya ha sido utilizado en ciberataques pasados, como son  Mirai y Annie, que en 2016 causaron pérdidas millonarias a muchos ISPs europeos. Los routers, normalmente, solo se protegen con contraseñas predeterminadas por sus fabricantes, algo que no supone ninguna barrera para los hackers. En este caso, seguramente se utilizó para llevar a cabo ataques tipo “Man in the middle”, a través de los que se puede redirigir el tráfico de la red y recopilar los datos transmitidos. Asimismo, F5 dice que es muy posible que se atacaran los puertos 8291 que utilizan los dispositivos PDoS.

En su comunicado, la firma dice también que no puede determinar el grado de éxito que alcanzaron estos ataques y tampoco tiene ninguna evidencia de que hayan sido patrocinados directamente por el gobierno ruso.