Se ha decubierto una nueva red de bots que afecta a dispositivos IoT para la realización, en principio, de ataques de denegación de servicio distribuidos.
La red, denominada dark_nexus por los investigadores de Bitdefender, se expande mediante ataques por diccionario a routers, cámaras, grabadores de video. Una vez infectados, pasan a formar parte de la red. En el informe, calculan que hay al menos 1372 bots activos, que afectan principalmente a China y paises asiáticos, aunque han detectado también bots en Brasil y Rusia.
Aunque comparte características con otras Botnets, como Mirai o Qbot, el desarrollo de los módulos que utiliza lo hace significativamente más potente y robusto. Tiene soporte para 12 arquitecturas diferentes de CPU, que se distribuyen dinámicamente en función de la víctima.
La infraestructura de la red consiste en varios servidores de control (C2), que envían los comandos a los dispositivos infectados, y otra serie de servidores que reciben los informes de las acciones realizadas por los mismos, como el descubrimiento de nuevas víctimas.
Una vez se encuentra un dispositivo vulnerable, el bot lo registra en el servidor de control, indicando la arquitectura de la CPU, para posteriormente transmitirle los binarios adecuados y ejecutarlo. Ciertas versiones vienen con capacidad para actuar de proxy, y servir los módulos a los nuevos miembros de la red, sin necesidad de descargarlas de un servidor externo.
Después de activarse, abre un puerto estático (7630) que le permite asegurarse de que sólo hay una instancia del software en ejecución. Con el objetivo de ocultar su presencia, renombra su proceso a por el de busybox, presente en la mayoría de dispositivos IoT y routers.
Utiliza diversas técnicas para manter su persistencia en el dispositivo, como deshabilitar los comandos del sistema que permiten apagar o reniciar el dispositivo, o detener el servicio cron, que impide que el software legítimo haga comprobaciones periódicas sobre su estado.
Evidencias obtenidas por Bitdefender, tras analizar muestras de otras botnets, parecen indicar que su autor pueda ser “greek.helios”, un desarrollador que vende servicios de DDoS en redes sociales, que cuenta incluso con un canal de Youtube donde anuncia y muestra el funcionamiento de sus botnets.
Referencias
https://thehackernews.com/2020/04/darknexus-iot-ddos-botnet.html
https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf
Deja una respuesta