Botnet IoT. Crece en las sombras durante el mes de septiembre

Investigadores de 360.cn y CheckPoint descubren una botnet que rápida y silenciosamente ha infectado a cerca de dos millones de dispositivos. La mayoría de ellos, cámaras IP y grabadoras de video en red.

La botnet, referenciada como IoT_reaper fue descubierta en el mes de septiembre. Desde entonces, ha sufrido muchas modificaciones y aumentado el numero de dispositivos infectados.

Esta botnet que "surge" de Mirai utiliza código de dicha botnet. Sin embargo, posee muchas distinciones y nuevos mecanismos que la separan lo suficiente de Mirai para considerarlo una nueva amenaza.

Como diferencia insignia, IoT_reaper abandona el uso de ataques de fuerza bruta utilizando contraseñas por defecto o débiles escaneando puertos telnet abiertos. En su lugar, utiliza exploits para tomar el control de aquellos dispositivos que no hayan sido parcheados, añadiéndolos así a su infraestructura.

La botnet actualmente, cuenta con 9 vulnerabilidades que explota:

-      D-Link 1  https://blogs.securiteam.com/index.php/archives/3364

-      D-Link 2  http://www.s3cur1ty.de/m1adv2013-003

-      GOAHEAD         https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

-      JAWS      https://www.pentestpartners.com/blog/pwning-cctv-cameras/

-      Netgear  https://blogs.securiteam.com/index.php/archives/3409

-      Vacron    https://blogs.securiteam.com/index.php/archives/3445

-      Netgear 2          http://seclists.org/bugtraq/2013/Jun/8

-      LinkSys   http://www.s3cur1ty.de/m1adv2013-004

-      AVTECH  https://github.com/Trietptm-on-Security/AVTECH

A esta lista, se continuan incluyendo nuevas vulnerabilidades a medida que la botnet se actualiza. El malware contiene un listado "openr resolvers", funcionalidad que le permite llevar a cabo ataques de amplificación de DNS con relativa facilidad (http://openresolverproject.org/)

La botnet contiene la runtime de LUA, y contacta con un servidor remoto para ejecutar módulos de manera dinámica.

Durante el análisis no se ha observado la presencia de comandos que hagan referencia a un ataque DDoS, lo que da pie a pensar que es una botnet aún en desarrollo activo.

Basándonos en los datos conocidos del día 19 de Octubre, el número de nodos activos alcanza la cifra de 10.000. Suponiendo que el atacante tenga más de 10.000 nodos activos diariamente, y que cada nodo cuenta con una velocidad de subida de 10mbps, estaríamos hablando de una potencia de 100Gbps.

En caso de contar con dispositivos IoT en el hogar, lo ideal es identificar si poseen vulnerabilidades y contactar con el fabricante para obtener más información y de esa manera poder parchearlas. 

Más información:

僵尸网络】IOT_REAPER : 一个正在快速扩张的新 IOT僵尸网络: http://www.debugrun.com/a/2JX1gIQ.html

Fuente: Hispasec.con