El poder destructivo del malware contra el IoT está más demostrado, lo que ha convertido a esta área en un lugar idóneo para generar competencia. Si con Mirai se puede crear grandes botnets para lanzar ataques DDoS con un nivel de tráfico récord, ¿por qué no puede haber otros malware que hagan lo mismo o parecido?
Sí, Mirai tiene competencia y hoy vamos a nombrar a uno de esos competidores, Hajime. Desde que fue descubierto por unos investigadores hace más de seis meses, se ha ido expandiendo para crear una botnet que ha infectado a unos 100.000 dispositivos alrededor de todo el mundo, según el investigador en seguridad Marshall Webb.
Las botnets, que no son más que redes de ordenadores esclavizados, pueden terminar siendo un gran problema por la posibilidad de ser utilizadas para lanzar potentes ataques DDoS mientras siguen expandiéndose para mantener y incrementar su peligrosidad.
Hajime fue descubierto en el mismo mes en el que Mirai fue utilizado contra las DNS de Dyn, cuando los investigadores de Rapidity Networks centraron su atención en el histórico ataque. Lo que descubrieron fue un malware de características similares a las de Mirai, pero que resultaba incluso más tenaz.
Al igual que Mirai, Hajime también escanea Internet en busca de dispositivos IoT con una pobre seguridad, abarcando sobre todo cámaras, DVR y routers. Para comprometer los dispositivos prueba diferentes combinaciones de nombres de usuario y contraseñas para luego transferir el programa malicioso y convertirlos en parte de la botnet. Sin embargo, Hajime no recibe órdenes de un servidor de mando y control como Mirai, sino que en su lugar se comunica a través de una red P2P (Pear-to-Pear) construida con los protocolos de BitTorrent, dando como resultado una botnet bastante más descentralizada. Según Webb, “Hajime es mucho, mucho más avanzado que Mirai.”
Las ISP han estado luchando para destruir las botnets creadas con Mirai a través del bloqueo del tráfico en Internet procedente de sus servidores de mando y control, situación que fue aprovechada por Hajime para crecer de forma notable, infectando incluso a dispositivos que previamente lo fueron por Mirai. La naturaleza P2P de Hajime hace que los dispositivos infectados puedan transmitir ficheros o instrucciones a través de toda la botnet, haciéndola más resistente a los esfuerzos por bloquear su tráfico.
No se conocen los orígenes ni los autores de Hajime, aunque hasta ahora no parece que haya sido usado para lanzar ataques DDoS. Todo parece indicar que está intentando expandirse de forma más silenciosa, esperando el momento más idóneo para atacar. Esta situación genera cierta incertidumbre debido a que todavía no se conocen los propósitos de la botnet creada con Hajime, aunque se especula con futuros ataques DDoS y el fraude financiero. Tampoco se descarta que pueda formar parte de algún tipo de investigación al no haber hecho aparentemente ninguna actuación maliciosa destacable.
El tipo de dispositivo infectado también cambia entre Mirai y Hajime. Mientras que el primero ha ido contra dispositivos ARM, MIPS, x86 y de otras seis plataformas que ejecutaban tanto Linux como Windows, el segundo se ha centrado más en dispositivos con arquitectura ARM. Esto quiere decir que la competencia directa entre los dos malware todavía no se ha hecho efectiva, aunque podría darse en un futuro.
¿La solución? Unos parches que posiblemente no lleguen
Investigadores de distintos entes han recomendado hacer lo mismo, parchear los dispositivos IoT para neutralizar la vulnerabilidad que permite la expansión y posible ejecución tanto de Mirai como de Hajime. Pero aquí nos encontramos un panorama muy similar al de los smartphones Android, en el que muchos fabricantes no suministran los parches necesarios a tiempo o ni siquiera lo hacen, dejando una gran cantidad de dispositivos expuestos.
Por otro lado, ya hay informes haciendo hincapié en la gran cantidad de dispositivos inseguros conectados, algo que se suma a la escasa seguridad ofrecida por muchos dispositivos IoT, pudiéndose destacar el deficiente diseño de Tizen.
Fuente: CSO Online | muyseguridad
