Teknik 2 tim sedan

Cyberattackare kopplade till Ryssland har en ny fristad att verka: felkonfigurerade routrar runt om i världen

Routern lämnas vanligtvis utanför vår uppmärksamhet: vi installerar den, kontrollerar att det finns en anslutning och låter den fortsätta att fungera i månader eller år. Men den där lilla utrustningen som förbinder ett hem eller kontor med Internet kan också bli en användbar del för dem som vill dölja sin verksamhet. Problemet ligger inte i vad vi ser, utan i vad som kan hända i bakgrunden när konfigurationen är svag eller den fasta programvaran blir föråldrad.

Och där börjar en historia som inte längre bara påverkar säkerhetsspecialister.

Gömman fanns i routern. Den möjligheten slutade vara en abstrakt varning den 13 juli 2026. CISA, United States Cybersecurity and Infrastructure Security Agency, varnade för att aktörer från Center 16 av FSB, den ryska säkerhetstjänsten, fortsätter att dra fördel av sårbara eller dåligt konfigurerade nätverksenheter i olika länder.

Enligt tillkännagivandet har denna aktivitet redan gjort det möjligt att äventyra nätverk inom flera kritiska infrastruktursektorer. Varningen utfärdades tillsammans med organisationer i Australien, Danmark, Nya Zeeland och Storbritannien.

En lånad identitet. Målet är inte att stanna kvar på routern, utan att använda den som en mellanhand för andra operationer. När trafik passerar genom en enhet som är installerad i ett hem eller ett litet kontor, kan anslutningen tyckas vara en legitim användares.

Detta är vad som kallas en bostadsproxy: en inhemsk anslutning som används som mellanhand för att dölja var angriparen verkligen agerar ifrån. För en organisations försvar är det mycket svårare att vid första anblicken skilja mellan en normal anslutning och skadlig aktivitet. Spårningen börjar på Internet.

För att hitta nya enheter skannar angripare IP-adressintervall och letar efter routrar med aktiva SNMP-agenter, ett protokoll som används för att fråga och hantera datorer som är anslutna till ett nätverk. Risken uppstår när den tjänsten är exponerad och accepterar vanliga referenser eller de som konfigurerades på fabriken. I det scenariot kan teamet svara någon som inte borde ha tillgång.

Det första steget är därför att lokalisera vilka som fortfarande annonserar på Internet med en svag konfiguration.

Från mål till verktyg. Att hitta en utsatt router räcker inte för att kontrollera den. Enligt CISA skickar skådespelarna skadlig trafik med förfalskade IP-adresser och utnyttjar den felkonfigurerade SNMP-agenten för att exekvera skadlig programvara på enheten.

De gör det också från nätverk som består av andra redan komprometterade routrar, så att systemet matar sig självt. Processen har tre faser: först hittar de utrustningen, sedan utnyttjar de dess konfiguration och slutligen införlivar de den i nätverket från vilket de kommer att fortsätta leta efter nya mål. I Engadget Meta kommer Google och Microsoft att kunna fortsätta spåra dina meddelanden fram till 2028.

Trots att majoriteten av EU-parlamentet röstade emot attacken kommer från ett annat hus När den väl är införlivad i detta nätverk börjar routern fungera som en utgångsnod, det vill säga som den sista synliga punkten innan trafiken når målet. För den som tar emot anslutningen verkar aktiviteten inte komma från system kopplade till FSB, utan snarare från en legitimt utseende IP-adress. Denna täckning kan minska chanserna för automatisk blockering och försvårar arbetet för dem som försöker rekonstruera rutten till de ansvariga för operationen.

En jakt som aldrig tar slut: användbarheten av detta nätverk av mellanhänder förstås bättre när vi tittar på deras möjliga destinationer. CISA pekar på kommunikationsnätverk, försvar, energi, finansiella tjänster och offentliga organisationer, alla sektorer där en till synes legitim anslutning kan underlätta undersökningar eller efterföljande attacker. Fenomenet började dessutom inte med denna varning: ryska och kinesiska aktörer har kämpat och återanvänt komprometterade routrar i flera år.

Även om regeringar och företag har lyckats desinficera enheter och demontera botnät, bygger deras operatörer vanligtvis om dem genom att införliva ny utrustning.

Stäng dörren. CISA rekommenderar att du inaktiverar SNMP 1 och 2, versioner som inte krypterar lösenord eller innehåller aktuella skydd, och använder SNMP 3 endast när det behövs. Om vi ​​inte använder detta protokoll för att hantera nätverket är det säkraste alternativet att stänga av det helt.

Byrån rekommenderar också att du inaktiverar Cisco Smart Install, ersätter svaga referenser, installerar firmwareuppdateringar och begränsar andra onödiga nätverksprotokoll. Routern kan gå obemärkt förbi i åratal, men det betyder inte att vi ska låta den vara igång utan underhåll. Bilder | Xataka med nanobanan i Xataka | Jordi Nebot, VD för PaynoPain: "Boenden laddas upp med stulna eller AI-tillverkade fotografier och ett attraktivt pris"

Cyberattackare kopplade till Ryssland har en ny fristad att verka: felkonfigurerade routrar runt om i världen

Originalkälla

Publicerad av Xataka

16 july 2026, 21:01

Läs original

Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.

Visa originaltext (spanska)

Rubrik

Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo

Beskrivning

El router suele quedarse fuera de nuestra atención: lo instalamos, comprobamos que hay conexión y dejamos que siga funcionando durante meses o años. Sin embargo, ese pequeño equipo que conecta una casa o una oficina con Internet también puede convertirse en una pieza útil para quienes buscan ocultar sus operaciones. El problema no está en lo que vemos, sino en lo que puede ocurrir en segundo plano cuando la configuración es débil o el firmware queda desactualizado. Y ahí empieza una historia que ya no afecta solo a especialistas en seguridad. El escondite estaba en el router. Esa posibilidad dejó de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, alertó de que actores del Centro 16 del FSB, el servicio de seguridad ruso, siguen aprovechando dispositivos de red vulnerables o mal configurados en distintos países. Según el aviso, esa actividad ya ha permitido comprometer redes de varios sectores de infraestructuras críticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido. Una identidad prestada. El objetivo no es quedarse en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tráfico pasa por un dispositivo instalado en una vivienda o una pequeña oficina, la conexión puede parecer la de cualquier usuario legítimo. Es lo que se conoce como proxy residencial: una conexión doméstica utilizada como intermediaria para ocultar desde dónde actúa realmente el atacante. Para las defensas de una organización, distinguir a primera vista entre una conexión normal y una actividad maliciosa resulta mucho más difícil. El rastreo empieza en Internet. Para encontrar nuevos dispositivos, los atacantes recorren rangos de direcciones IP en busca de routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo aparece cuando ese servicio está expuesto y acepta credenciales comunes o las que venían configuradas de fábrica. En ese escenario, el equipo puede responder a alguien que no debería tener acceso. El primer paso consiste, por tanto, en localizar cuáles siguen anunciándose en Internet con una configuración débil. De objetivo a herramienta. Encontrar un router expuesto no basta para controlarlo. Según CISA, los actores envían tráfico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, además, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se alimenta a sí mismo. El proceso tiene tres fases: primero encuentran el equipo, después explotan su configuración y, finalmente, lo incorporan a la red desde la que seguirán buscando nuevos objetivos. En Xataka Meta, Google y Microsoft podrán seguir rastreando tus mensajes hasta 2028. A pesar de que la mayoría del Parlamento Europeo votó en contra  El ataque sale desde otra casa Una vez incorporado a ese entramado, el router empieza a actuar como nodo de salida, es decir, como el último punto visible antes de que el tráfico llegue al objetivo. Para quien recibe la conexión, la actividad no parece proceder de sistemas vinculados al FSB, sino de una dirección IP de apariencia legítima. Esa cobertura puede reducir las posibilidades de bloqueo automático y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operación. Una persecución que no termina: la utilidad de esta red de intermediarios se entiende mejor cuando observamos sus posibles destinos. CISA señala redes de comunicaciones, defensa, energía, servicios financieros y organismos públicos, todos ellos sectores donde una conexión aparentemente legítima puede facilitar sondeos o ataques posteriores. El fenómeno, además, no empezó con esta advertencia: Actores rusos y chinos llevan años disputándose y reutilizando routers comprometidos. Aunque gobiernos y compañías han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos. Cerrar la puerta. CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contraseñas ni incorporan protecciones actuales, y utilizar SNMP 3 únicamente cuando sea necesario. Si no empleamos este protocolo para administrar la red, la opción más segura es apagarlo por completo. El organismo también aconseja deshabilitar Cisco Smart Install, sustituir las credenciales débiles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante años, pero eso no significa que debamos dejarlo funcionando sin mantenimiento. Imágenes | Xataka con Nano Banana En Xataka | Jordi Nebot, CEO de PaynoPain: "Suben alojamientos con fotografías robadas o hechas con IA y un precio llamativo" (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo fue publicada originalmente en Xataka por Javier Marquez .

1 visningar
Dela:

Svep för att byta artikel

Vi använder cookies

Vi använder cookies för att förbättra din upplevelse på vår webbplats. Genom att klicka "Acceptera alla" samtycker du till användningen av alla cookies. Läs mer i vår cookiepolicy och integritetspolicy.