Expertos de seguridad de ESET han detectado una nueva amenaza que busca infectar principalmente routers basados en Linux y dispositivos IoT conectados constantemente a la red. Esta amenaza ha recibido el nombre de Remaiten.
Remaiten es un nuevo malware creado a partir de
dos amenazas ya conocidas (Tsunami (también conocido como Kaiten) y Gafgyt)
que, a su vez, mejora las principales funciones de estas y añade nuevas para
poder llevar a cabo ataques más complejos.
ESET ha registrado hace pocas horas una nueva versión de este malware, la 2.2, que incluye comandos wget/tftp y cuenta con binarios para infectar dispositivos de arquitecturas PowerPC y SuperH, siendo así capaz de infectar prácticamente cualquier dispositivo del mercado.
Cómo funciona el malware Remaiten
- Una de las características más peculiares de este
malware es su forma de distribución. Cuando recibe órdenes desde su
servidor de control, el malware intenta conectarse a direcciones IP
aleatorias a través de telnet, utilizando el puerto 23. Si consigue
conexión, utiliza un diccionario para intentar adivinar el usuario y la
contraseña y conseguir tomar el control del dispositivo.
- Una vez consigue acceso, el malware descarga en el
equipo afectado una serie de ficheros ejecutables e intenta ejecutarlos.
Estos archivos están compilados para múltiples arquitecturas así que, en
lugar de analizar el dispositivo y ejecutar el binario adecuado para
llevar a cabo la infección, simplemente descarga y ejecuta todos hasta que
uno lo hace con éxito. Además de muchas arquitecturas arcaicas, este
malware también es compatible con ARM y MIPS.
- Cuando el malware se ha instalado con éxito en el
router o dispositivo IoT, este permanece ejecutado como un demonio,
siempre en primer plano, conectado a su servidor a través de una
interfaz IRC y a la espera de órdenes. Todas las conexiones se realizan
cifradas, por lo que es bastante complicado poder detectarlas.
Remaiten IRC
- Este malware puede recibir una serie de órdenes o
comandos desde el servidor de control. Estas funciones han sido heredadas
de Tsunami y Gafgyt, y se centran principalmente en buscar nuevas víctimas
(ya que forma parte de una botnet), y realizar todo tipo de ataques de red
como ataques de desbordamiento en el router, la descargar archivos
modificados, realizar barridos de IPs mediante telnet, etc. Este malware
no se lleva bien con otros bots, por lo que también tiene una función para
finalizar cualquier demonio o proceso que no sea imprescindible para el
router.
- Como podemos ver, una amenaza bastante simple pero
preocupante a la vez. Es muy complicado defenderse de ella ya que, igual
que no podemos instalar un antivirus en un router, la infección no depende
del usuario, sino que podemos llegar a ser víctimas incluso por azar, por
mala suerte. La única recomendación de seguridad que podemos daros es, si
el router lo permite, cambiar la contraseña del telnet para que, en caso
de ser objetivo de Remaiten, este no pueda conectarse a nuestro router.