Los investigadores de seguridad dicen que han descubierto otra cepa de malware que se creó específicamente para infectar servidores basados en Linux y dispositivos inteligentes de Internet de las cosas (IoT), y luego abusar de estos sistemas para lanzar ataques DDoS.
Llamado Kaiji, este nuevo malware fue detectado la semana pasada por un investigador de seguridad llamado MalwareMustDie y el equipo de Intezer Labs .
El malware es muy diferente de otras cepas de malware IoT, principalmente porque está escrito en el lenguaje de programación Go, en lugar de C o C ++, los dos lenguajes en los que la mayoría del malware IoT está codificado en estos días.
Ir a malware es raro, no porque no sea eficiente, sino porque ya hay tantos proyectos C o C ++ disponibles gratuitamente en GitHub y foros de pirateo que hacen que la creación de una botnet IoT sea una operación simple.
Muy pocos autores de malware de IoT pasan su tiempo codificando una botnet desde cero en estos días. De hecho, la gran mayoría de las botnets de IoT son solo una mezcla de diferentes partes y módulos tomados de múltiples cepas, combinados en nuevas variaciones de las mismas bases de códigos de botnets.
«El ecosistema de botnets de Internet de las cosas (IoT) está relativamente bien documentado por especialistas en seguridad», dijo Paul Litvak, analista de malware de Intezer, quien analizó el código en un informe publicado ayer.
«No es frecuente que vea las herramientas de una botnet escritas desde cero».
KAIJI SE PROPAGA A TRAVÉS DE ATAQUES DE FUERZA BRUTA SSH.
Según Litvak y MalwareMustDie, Kaiji ya ha sido visto en la naturaleza, extendiéndose lentamente por todo el mundo, creando nuevas víctimas.
El investigador de Intezer dice que por el momento, la botnet no es capaz de utilizar exploits para infectar dispositivos sin parches. En cambio, la botnet Kaiji ejecuta ataques de fuerza bruta contra dispositivos IoT y servidores Linux que han dejado su puerto SSH expuesto en Internet.
Solo se apunta a la cuenta «raíz», dice Litvak. La razón es que la botnet necesita acceso raíz a los dispositivos infectados para manipular los paquetes de red sin procesar para los ataques DDoS que desean llevar a cabo y las otras operaciones que desean llevar a cabo.
Una vez que obtenga acceso a la cuenta raíz de un dispositivo, Kaiji lo usará de tres maneras. Primero, para ataques DDoS. En segundo lugar, para llevar a cabo más ataques de fuerza bruta SSH contra otros dispositivos. En tercer lugar, roba las claves SSH locales y se propaga a otros dispositivos que la cuenta raíz ha administrado en el pasado.
KAIJI PARECE ESTAR TODAVÍA EN DESARROLLO
Litvak dice que la botnet, a pesar de tener la capacidad de lanzar seis tipos diferentes de ataques DDoS, era claramente un trabajo en progreso.
El código carecía de características en comparación con otras botnets más establecidas, contenía la cadena «demo» en algunos lugares, y el módulo rootkit a menudo se llamaba a sí mismo demasiadas veces y agotaba la memoria del dispositivo, lo que provocaba un bloqueo.
Además, los servidores de comando y control de Kaiji a menudo también se desconectan, dejando dispositivos infectados sin ningún servidor maestro y expuestos a ser secuestrados por otras botnets.
Pero aunque esta botnet no era una amenaza ahora, no significa que no lo será en el futuro. Tanto MalwareMustDie como Litvak ahora están siguiendo su evolución.
Los dos investigadores también están de acuerdo en el hecho de que la botnet parece ser el trabajo de un desarrollador chino, ya que muchas funciones en el código, mientras están escritas en inglés, son meras transcripciones de términos chinos.
FRAGMENTACIÓN DE BOTNETS
Kaiji es ahora la última botnet de IoT en aparecer en la escena de malware de IoT, que en los últimos meses ha visto algunos desarrollos interesantes.
Atrás quedaron los días de botnets que infectan más de 100,000 o 500,000 dispositivos. Hoy en día, la mayoría de las botnets de IoT rara vez superan los 15,000 – 20,000 dispositivos infectados, y esos son solo los exitosos.
Debido a la prevalencia de los kits de botnets de código abierto, ahora hay cientos de botnets activos a diario, todos luchando por infectar y controlar la misma cantidad de dispositivos IoT. Como resultado, todo el mercado de botnets de IoT ahora está fragmentado y dividido entre una gran cantidad de jugadores más pequeños.
Actualmente, una de las botnets más grandes es la botnet Mozi, que, según un informe de Black Lotus Labs de CenturyLink , había logrado infectar a más de 16,000 bots en los últimos cuatro meses.
Otras botnets recientes notables incluyen la nueva variedad de malware Hoaxcalls IoT, Mukashi y dark_nexus .
Fuente y redacción: zdnet.com