De Darlloz a Mirai, un repaso a las botnets IoT en los últimos tiempos

Pensemos en un momento en las actualizaciones de nuestro teléfono móvil o nuestro ordenador de escritorio. Es un acto rutinario: el sistema avisa de la existencia de una actualización pendiente, pulsamos, aceptamos, se instala y (en el mejor de los casos, si todo va bien y siempre después de un rato…) vuelta al trabajo. Un acto que repetido con asiduidad y que, a veces con resignación, forma parte del aseo rutinario. Ahora pongamos la atención en ese aparato que no es un móvil o un ordenador, puede ser un router, un frigorífico, un termostato o incluso un inodoro con conexión WiFi. Cientos de pequeños cacharros que albergan una CPU, memoria y conexión a la red. Escondidos en techos de escayola o disfrazados de electrodomésticos, no dejan de ser computadoras como la que tenemos delante o la que sostenemos en la palma de la mano. ¿Los actualizamos?, ¿se actualizan?, ¿son vulnerables?

¿Cuánto hace que cambiaste las credenciales de acceso o actualizaste el firmware de tu inodoro? Si la respuesta es nunca, entonces acabas de descubrir la clave para entender la proliferación de malware enfocado al Internet de las cosas: el olvido y la indiferencia, dos factores que no pasan desapercibidos a los creadores de botnets.

Aunque ya hubo voces que advirtieron de los retos a los que nos íbamos a enfrentar con la explosión del IoT, posiblemente no nos dimos cuenta de ese potencial hasta que fuimos testigos del crecimiento, auge y capacidad beligerante de Mirai, una botnet compuesta por una amalgama de routers, cámaras IP y, quién sabe, algún que otro frigorífico o lavadora.

El episodio en concreto, ocurrido el 20 de septiembre de 2016, fue el ataque de denegación de servicio contra el sitio web del investigador de seguridad Brian Krebs. Algo más de 600 Gbps insuflados a través de dispositivos infectados por todo el globo en uno de los ataques de denegación de servicio más grandes acaecidos hasta esa fecha.

Mirai (“futuro” en japonés), tenía unos objetivos muy claros cuando fue descubierta y analizada por el grupo MalwareMustDie. Poseía datos de credenciales por defectos de más de 60 tipos de dispositivos a los que atacaba accediendo a su configuración y terminaba agregándolos a la botnet. Curiosamente, aunque escaneaba internet en busca de otros dispositivos con una configuración por defecto o descuidada, se abstenía de “tocar” redes del servicio postal y del departamento de defensa de los Estados Unidos.

El código fuente de Mirai fue liberado en un foro e incluso está publicado en Github. Naturalmente, ese mismo código ha sido usado para crear nuevas versiones personalizadas, más agresivas y con añadidos interesantes, como módulos de explotación de vulnerabilidades conocidas y que han hecho estragos. Por ejemplo, el CVE-2017-5638, que permite ejecutar código arbitrario en Apache Struts; un fallo muy conocido por ser la causa de la brecha de información que afectó a la empresa Equifax.

Desde entonces, Mirai ha tenido varias encarnaciones, por ejemplo: Reaper, Okiru, Satori, Masuta, etc. Desde ese catálogo de credenciales por defecto y su uso como arma en el mercado negro de los DDoS, hasta la inclusión de los mencionados exploits y su orientación al minado masivo de criptomoneda.

Otro ejemplar significativo es BASHLITE, aunque también tiene otros muchos nombres, como: Gafgyt, Torlus, Lizkebab. Este malware comenzó a despuntar en 2014, cuando explotaba la conocida vulnerabilidad que afectaba a sistemas UNIX: Shellshock. Una sencilla pero elegante forma de ejecutar código que afectó a numerosos sistemas. Aunque afectaba principalmente a servidores UNIX, la mayoría de sistemas infectados terminaron siendo IoT. Las siguientes iteraciones de BASHLITE comenzaron a usar la misma vía de propagación que Mirai, esto es, diccionarios contra la autenticación de dispositivos IoT y un catálogo de exploits listos para ampliar su capacidad de difusión.

VPNFilter es creación del grupo ruso Fancy Bear. Ya hablamos de él brevemente en esta entrada. Este ejemplar, aunque en principio se diseñó para afectar a objetivos situados en Ucrania, terminó expandiéndose por todo el mundo, e incluso hizo que el propio FBI norteamericano publicase un anuncio donde pedía que se reiniciaran los routers para erradicar el proceso afectado por VPNFilter de la memoria. 

Tanto VPNFilter como GhostDNS pertenecen, podríamos decir, a una nueva generación de malware, donde se busca modularidad, resilencia, múltiples etapas de infección y nuevas e innovadoras vías de comunicación con el C&C. Por ejemplo, en el caso de VPNFilter se llegó a usar los metadatos de imágenes (campos EXIF) publicadas en ciertas webs para enviar comandos a los bots.

En el caso de GhostDNS, el modus operandi no es algo novedoso, su armazón básico es el de un DNS Changer, cambiar la dirección IP de los servidor DNS por defecto o configurados. Este cambio afecta a la forma en la que se resuelven las peticiones de dominio de una red. En vez de responder con la dirección IP original, el dominio es resuelto a una dirección de un servidor controlado por los atacantes. GhostDNS está compuesto por múltiples scripts de shell, Javascript, Python y PHP que forman tres módulos principales. Cada uno de ellos se especializa en un vector de ataque y posee submódulos especializados en un tipo de router. A destacar el módulo de Javascript que puede ser inyectado en una web y usado para afectar al router del visitante del sitio cuando el código es ejecutado en su navegador. Malware sin fronteras.

Pero aun así, ¿fue Mirai la primera botnet que aprovechaba la hiperconectividad? No. Ya en 2013, antes de toda la nueva ola IoT, Darlloz afectaba específicamente a routers además de otros objetivos. El malware se centraba en la explotación de CVE-2012-1823, un exploit para php-cgi, que es un módulo PHP y es usado en los paneles de administración web de algunos routers. Darlloz escaneaba aleatoriamente Internet enviando una petición HTTP POST con el payload incrustado en un formulario. Si el router era vulnerable, terminaba infectado con una versión de Darlloz y pasaba a formar parte de la botnet.

En conclusión, escondidos o camuflados, estamos rodeados de pequeños artefactos que necesitan de atención. Solo con una pequeña parte de la misma atención que dedicamos a nuestros terminales móviles u ordenadores de escritorio, podríamos evitar un mal mayor que, a veces, encuentra una puerta completamente abierta en estos sistemas.