Investigadores de
360.cn y CheckPoint descubren una botnet que rápida y silenciosamente ha
infectado a cerca de dos millones de dispositivos. La mayoría de ellos, cámaras
IP y grabadoras de video en red.
La botnet,
referenciada como IoT_reaper fue descubierta en el mes de septiembre. Desde
entonces, ha sufrido muchas modificaciones y aumentado el numero de
dispositivos infectados.
Esta botnet que
"surge" de Mirai utiliza código de dicha botnet. Sin embargo, posee
muchas distinciones y nuevos mecanismos que la separan lo suficiente de Mirai
para considerarlo una nueva amenaza.
Como diferencia
insignia, IoT_reaper abandona el uso de ataques de fuerza bruta utilizando
contraseñas por defecto o débiles escaneando puertos telnet abiertos. En su lugar,
utiliza exploits para tomar el control de aquellos dispositivos que no hayan
sido parcheados, añadiéndolos así a su infraestructura.
La botnet
actualmente, cuenta con 9 vulnerabilidades que explota:
- D-Link 2 http://www.s3cur1ty.de/m1adv2013-003
- Netgear 2 http://seclists.org/bugtraq/2013/Jun/8
- LinkSys http://www.s3cur1ty.de/m1adv2013-004
A esta lista, se
continuan incluyendo nuevas vulnerabilidades a medida que la botnet se
actualiza. El malware contiene un listado "openr resolvers",
funcionalidad que le permite llevar a cabo ataques de amplificación de DNS con
relativa facilidad (http://openresolverproject.org/)
La botnet contiene la
runtime de LUA, y contacta con un servidor remoto para ejecutar módulos de
manera dinámica.
Durante el análisis
no se ha observado la presencia de comandos que hagan referencia a un ataque
DDoS, lo que da pie a pensar que es una botnet aún en desarrollo activo.
Basándonos en los
datos conocidos del día 19 de Octubre, el número de nodos activos alcanza la
cifra de 10.000. Suponiendo que el atacante tenga más de 10.000 nodos activos
diariamente, y que cada nodo cuenta con una velocidad de subida de 10mbps,
estaríamos hablando de una potencia de 100Gbps.
En caso de contar con
dispositivos IoT en el hogar, lo ideal es identificar si poseen
vulnerabilidades y contactar con el fabricante para obtener más información y
de esa manera poder parchearlas.
Más información:
Fuente: Hispasec.con