Secretos militares robados debido a contraseña predefinida en FTP

Secretos militares robados debido a contraseña predefinida en FTP

Un hacker ha sido descubierto vendiendo documentos militares confidenciales en foros de hacking. El robo de estos secretos militares podría haberse evitado fácilmente, si se hubieran cambiado las credenciales por defecto para un FTP.

Varios documentos han sido puestos a la venta en los bajos fondos de la red, como por ejemplo libros de servicio/mantenimiento  para drones modelo MQ-9 Reaper. También manuales de entrenamiento para tácticas de desplieque de IEDs (Dispositivos Explosivos Improvisados), además del manual operativo del tanque M1 Abrams o un documento de tácticas de pelotones de infantería, entre otros.

Secretos militares vendidos por tan solo 200 €

La firma de inteligencia en ciberseguridad Recorded Future ha sido quien ha publicado el hallazgo, donde sorprende sobre todo que el coste de todo el lote de documentos sea tan bajo, entre 150 y 200 € por todo. O es alguien con pocos conocimientos militares, o quiere quitarse de encima el lote pronto por algún motivo.

Recorded Future entabló contacto con el hacker en internet y se fijó en que este utilizaba Shodan para detectar routers Netgear que utilizasen una contraseña predefinida para el servicio ftp, la que venía de fábrica. Con esta credencial en su poder, el hacker consiguió acceso a algunos de estos routers. Y casualmente algunos estaba ubicados en complejos militares.

Es muy importante modificar siempre las contraseñas por defecto que cualquier router o dispositivo IoT (cámaras, vigilabebés, etc) para evitar que tomen control del aparato.

En base a los documentos que compartieron con algunos compañeros de profesión, se pudo determinar que una de las ubicaciones afectadas en norteamérica era la 432d Aircraft Maintenance Squadron Reaper AMU OIC, situada en Nevada.

Manual de Dron MQ-9

El atacante empleó el acceso al router para pivotar sobre la red interna del complejo y acceder al PC del capitán, desde donde robó el documento referente al dron MQ-9 Reaper y un listado de soldados asignados a su control. El MQ-9 es uno de los drones más utilizados por la USAF, la CIA y la US Navy o la NASA, y está cargado de tecnología punta.

Una mala configuración de un FTP bastó

El hacker no desveló de donde había robado la documentación, pero basándose en la información contenida, los expertos pensaron que lo más probable era el Pentágono o algún oficial de la US Army.

Documentos tácticos

Si el staff de TI del complejo militar en cuestión hubiera auditado y modificado las credenciales predefinidas del router (o al menos deshabilitado el servicio de ftp) todo esto habría podido evitarse.

Este problema en concreto (en routers Netgear) está documentado desde 2016. La firma publicó en su momento una página con información donde se informaba acerca de cómo corregirlo, cambiando las credenciales.

Según Recorded Future, en este momento existen unos 4000 routers Netgear NightHawk R7000 accesibles online mediante buscadores como Shodan.

Aprende másCómo proteger el router en 9 pasos

Tras haber informado a los responsables de Defensa, estos se han puesto a investigar los orígenes de la filtración y el alcance del problema. Nunca es tarde, aunque es mejor no llegar a estos casos.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.