Un nuevo botnet llamado IoT Botnet Rises se está construyendo lentamente en webcams y cámaras IP sin garantía.
Las exploraciones en masa comenzaron el 16 de abril, un mes después de que el investigador de seguridad Pierre Kim reveló una vulnerabilidad que afecta a más de 1.250 modelos de cámaras.Los defectos que descubrió permite a un atacante hacerse cargo de los productos afectados. Kim hizo pública su descubrimiento, ya que la empresa desde donde se originó la vulnerabilidad no se molestó en responder a sus mensajes de correo electrónico, y mucho edición solamente una solución.
Aunque en un principio las cosas parecían ir a mejor, las exploraciones de esta fallas comenzaron el 16 de abril los primeros en notar las exploraciones fueron investigadores del Instituto de Tecnología SANS, que vio un aumento de las exploraciones en el puerto 81, pero no pudo identificar su propósito.
Las cosas se volvieron más claras después de un informe de la Red de Seguridad Qihoo 360 Laboratorio de Investigación (NetLab), que vincula el puerto 81 escaneos en una nueva botnet IO.
Además, los investigadores también lograron poner sus manos en el binario descargado en cámaras infectados. Las pistas dejadas dentro de este binario son similares al malware Mirai, pero los investigadores dijeron que no creen que esto es una variante de Mirai, pero algo nuevo por completo, tratando de pasar como Mirai.
La cadena de infección es el siguiente. Un atacante desconocido comienza a escanear Internet para GoAhead, el servidor web ligero incrustado con todas las cámaras vulnerables. Una vez que el atacante ha identificado una serie vulnerables, que intenta explotar la vulnerabilidad expuesta por Kim.
Si tiene éxito, obtiene acceso root al dispositivo, descarga un binario, y se mueve a una nueva víctima. Las operaciones de escaneado se llevan a cabo a través del puerto 81 y de los anfitriones infectados previamente.
De acuerdo con NetLab, sólo una semana después de las exploraciones comenzaron el 22 de abril, había cerca de 2,7 millones de lecturas por día procedentes de 57.400 direcciones IP únicas, que es una estimación aproximada del número de dispositivos infectados y el tamaño de esta nueva red de bots.
Actualmente, la red de bots se comunica con un servidor de comando y control alojado en dominios iraníes, en load.gtpnet.ir y ntp.gtpnet.ir.
El 23 de abril, este nuevo botnet mostró sus dientes por primera vez cuando sus amos lo utilizaron para lanzar un ataque DDoS contra un banco ruso.
Un análisis de este ataque DDoS también reforzó la conclusión de NetLab que esto no era más que otra variante del malware Mirai, pero algo nuevo por completo, lo que estaba tratando de disfrazar de Mirai, con la esperanza de confundir a los investigadores de seguridad.
NetLab tiene visibilidad a la actividad de DNS en China, ellos fueron capaces de determinar que en el momento en que publicaron su investigación, la red de bots tenía 43,621 bots. Ellos fueron capaces de detectar el tamaño exacto debido a su capacidad para ver las solicitudes de DNS para los servidores de la red de bots C & C.
La empresa china original en el que se originó la vulnerabilidad había vendido sus productos como cámaras de marca blanca que otras compañías compran y se ponen su logo en la parte superior. Esto explica el gran número de modelos de cámaras vulnerables (más de 1250), sino también por qué cámaras son vulnerables en todo el mundo, no sólo en China. A nivel mundial, esta nueva botnet es sin duda mucho más grande.
Fecha actualización el 2017-4-25. Fecha publicación el 2017-4-25. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer