Botnet vigilante gana dispositivos antes de que Mirai lo haga

20/04/2017

Debe recalcarse que el apropiarse de un sistema desde un acceso no autorizado que no te pertenece es una práctica ilegal, sin importar cuál sea la intención.

Esto es porque según se informa, alguien que ha sido etiquetado como un “ciberatacante vigilante” por los medios está apropiándose de dispositivos vulnerables del Internet de las Cosas (IoT) con el supuesto fin de asegurarlos.

Esta no es la primera vez que un ciberatacante ha mostrado vigilancia, ya que hemos visto mucho incidentes anteriores en donde ciberatacantes han utilizado malware para comprometer miles de dispositivos, pero en lugar de apropiarse de ellos, forza a los propietarios a hacerlos seguros.

Dubbed Hajime, el último botnet de IoT, utilizado por un ciberatacante, ha infectado al menos 10,000 routers domésticos, cámaras conectadas al internet y otros dispositivos inteligentes.

Pero según se informa, es un intento de lucha contra el control de Mirai y otras amenazas maliciosas.

Mirai es un botnet de IoT que amenazó al Internet el año pasado con ataques de denegación de servicios distribuidos que establecieron records contra el proveedor popular de DNS Dyn en octubre pasado. La botnet diseñada para buscar dispositivos IoT que aún utilizan contraseñas predeterminadas.

Cómo funciona la botnet Hajime

La botnet Hajime funciona como Mirai: se propaga a través de dispositivos IoT inseguros que tienen puertos Telnet abiertos y usa contraseñas predeterminadas. También usa la misma lista de usuario y contraseña que la botnet Mirai está programa para usar, con adición de dos más.

Sin embargo, lo interesante de la botnet Hajime es que, a diferencia de Mirai, protege los dispositivos de destinos bloqueando el acceso a cuatro puertos (23, 7547, 5555 y 5358) conocidos como vectores utilizados para atacar muchos dispositivos IoT, haciendo que Mirai u otras amenazas queden fuera de su alcance.

A diferencia de Mirai, Hajime utiliza una red descentralizada par-a-par (en lugar de un servidor de comando y control) para emitir comandos y actualizaciones a dispositivos infectados, lo que hace más difícil para los ISP y proveedores principales  de internet eliminar la botnet.

La botnet Hajime también toma medidas para ocultar sus procesos y archivos en ejecución en el sistema de archivos, haciendo más difícil la detección de sistemas infectados.

Además, la botnet Hajime carece también de capacidades DDoS o cualquier otro código de piratería, excepto el código de propagación que permite a un dispositivo infectado buscar otros dispositivos vulnerables e infectarlos.

Una de las cosas más interesante de Hajime es que la botnet muestra un mensaje firmado criptográficamente cada 10 minutos aproximadamente en terminales. El mensaje dice:

Sólo un soy ciberatacante blanco asegurando algunos sistemas.
¡Los mensajes importantes se firmarán así!
Autor Hajime
Contacto CERRADO ¡Manténgase alerta!

 

No hay nada de qué emocionarse

Sin duda, hay una intención de aplaudir a Hajime, mientras los usuarios no reinicien sus dispositivos.

Dado que Hajime no tiene mecanismo de persistencia, que se carga en la RAM de los dispositivos, una vez que el dispositivo IoT se reinicia, vuelve a su estado no seguro, con las contraseñas predeterminadas y el puerto Telnet abierto al mundo.

“Un día un dispositivo puede pertenecer a la botnet Mirai, después del próximo reinicio podría pertenecer a Hajime, y luego el siguiente a muchos otros malware/gusanos IoT que están por ahí escaneando dispositivos con contraseñas codificadas. Este ciclo continuará con cada reinicio hasta que el dispositivo se actualice con un firmware más nuevo y más seguro”, explicaron los investigadores de Symantec.

Hay otro problema…

Atacar a alguien para evitar el apropiarse de una cosa no es un hecho, es por eso que también estamos preocupados por una enmienda aprobada por los Estados Unidos (Regla 41) que otorga al FBI poderes mucho mayores para entrar legalmente en computadores pertenecientes a cualquier país, tomar datos y realizar vigilancia remota.

Por lo tanto, la cuestión más preocupante de todas es: ¿Hay alguna garantía de que el autor de Hajime no agregará capacidades de ataque de gusano para usar los dispositivos secuestrados con fines maliciosos?