Botnet IoT crece en las sombras durante el mes de septiembre

Mapa de conexiones de la botnet.

La botnet, referenciada como IoT_reaper fue descubierta en el mes de septiembre. Desde entonces, ha sufrido muchas modificaciones y aumentado el numero de dispositivos infectados.

Esta botnet que «surge» de Mirai utiliza código de dicha botnet. Sin embargo, posee muchas distinciones y nuevos mecanismos que la separan lo suficiente de Mirai para considerarlo una nueva amenaza. 

Como diferencia insignia, IoT_reaper abandona el uso de ataques de fuerza bruta utilizando contraseñas por defecto o débiles escaneando puertos telnet abiertos. En su lugar, utiliza exploits para tomar el control de aquellos dispositivos que no hayan sido parcheados, añadiéndolos así a su infraestructura. 
La botnet actualmente, cuenta con 9 vulnerabilidades que explota:

A esta lista, se continuan incluyendo nuevas vulnerabilidades a medida que la botnet se actualiza. El malware contiene un listado «openr resolvers», funcionalidad que le permite llevar a cabo ataques de amplificación de DNS con relativa facilidad (http://openresolverproject.org/) 

Comprobando el listado de IPs seleccionadas.

La botnet contiene la runtime de LUA, y contacta con un servidor remoto para ejecutar módulos de manera dinámica.

Script remoto en LUA

API remota

Durante el análisis no se ha observado la presencia de comandos que hagan referencia a un ataque DDoS, lo que da pie a pensar que es una botnet aún en desarrollo activo. 

Basándonos en los datos conocidos del día 19 de Octubre, el número de nodos activos alcanza la cifra de 10.000. Suponiendo que el atacante tenga más de 10.000 nodos activos diariamente, y que cada nodo cuenta con una velocidad de subida de 10mbps, estaríamos hablando de una potencia de 100Gbps.

En caso de contar con dispositivos IoT en el hogar, lo ideal es identificar si poseen vulnerabilidades y contactar con el fabricante para obtener más información y de esa manera poder parchearlas.  

Fernando Díaz
fdiaz@hispasec.com