Cómo una nueva generación de 'botnets' IoT está amplificando los ataques DDoS
Las redes de bots IoT no son nuevas. Tampoco lo son los ataques DDoS. Pero los dos están en una trayectoria que está elevando las apuestas en la protección DDoS y la prevención de la toma de posesión de bots.
Larry Pesce recuerda el día en que el panorama de las amenazas de denegación de servicio distribuidas (DDoS) cambió radicalmente. Fue a finales del otoño de 2016, cuando un compañero de investigación se unió a él en el laboratorio de InGuardians, donde es director de investigación. Su amigo quería ver lo rápido que Mirai, un novedoso instalador de redes de bots de Internet de las cosas (IoT), se apoderaría de un grabador de cámaras DVR basado en Linux que era popular entre las medianas empresas. Así que trajo un DVR comprado, y luego configuraron la instrumentación de observación antes de conectarla a Internet a través del puerto de extensión del DVR.
"En unos 30 minutos, pudimos ver cómo se iniciaba una conexión con la contraseña predeterminada del DVR, descargaba la carga útil y se unía a la botnet (red de bots)", explica. Casi inmediatamente, registraron el tráfico de salida del DVR y lo cerraron antes de que pudiera realizar un ataque DDoS a otros dispositivos. Lo más frustrante es que cada vez que reiniciaban el DVR, éste volvía a la insegura contraseña por defecto instalada de fábrica, a pesar de que la habían cambiado por una contraseña segura.
Avancemos hasta hoy, cuando el IoT se utiliza comúnmente para amplificar los ataques DDoS contra sus objetivos y eludir las defensas DDoS actuales. Por ejemplo, en la segunda mitad de 2021, los ataques DDoS superaban los 4 Tbps, según un informe de inteligencia de red de Nokia Deepfield (parte del negocio de enrutamiento IP de Nokia) que analizó más de 10.000 ataques DDoS procedentes de proveedores de Internet de todo el mundo.
"El IoT con dispositivos exóticos como frigoríficos, parquímetros y cámaras de puertas era poco frecuente. Ahora hemos cruzado el punto de inflexión y son una amenaza dominante", afirma Craig Labovitz, CTO de Nokia Deepfield y autor del informe. "El DDoS de estas redes de bots se utiliza cada vez más para saturar los sistemas de Internet o la infraestructura de red, incluidos los cortafuegos. También estamos viendo que el DDoS se utiliza como distracción para ocultar el lanzamiento de ataques más peligrosos, como el ransomware".
El examen de los datos de DDoS realizado por Nokia reveló que miles de DVR, cámaras conectadas a Internet e incluso parquímetros pertenecientes a gasolineras, bancos y otras empresas han sido reclutados en redes de bots. Los servidores PBX de las empresas y los teléfonos VOIP también constituyen un gran porcentaje de dispositivos infectados por bots, tanto en la nube como en las instalaciones, según ha afirmado.
Los dispositivos IoT inseguros son un ejército dispuesto
Uno de los impactos clave para las organizaciones es la pérdida de servicio. "Las organizaciones están pagando por el ancho de banda que utilizan estos bots en sus empresas. Y, en el caso de los proveedores de servicios, sus clientes notarán una ralentización y se irán a otro proveedor", argumenta Labovitz.
Otros informes indican que los dispositivos de consumo, en particular los routers domésticos, también se utilizan cada vez más como mulas en los ataques de amplificación de redes de bots DDoS. Estos dispositivos están fuera del ámbito de la gestión de riesgos de las empresas.
"Ahora los electrodomésticos auxiliares de todo el mundo están en Internet: la nevera, la tostadora, la cafetera, el sistema de seguridad doméstico, el televisor. Se trata de artículos que no delatan el mal uso que se hace de ellos, ni siquiera que estén infectados, a no ser que actúen de forma errática o dejen de funcionar", afirma Frank Clark, analista principal de seguridad de la consultora Hunter Strategy. "¿Cómo podría el usuario medio saber algo, y mucho menos bloquear al bot para que no envíe los paquetes DDoS? Ayudaría si los fabricantes de OT para empresas y consumidores los hicieran seguros por defecto, pero eso es una quimera".
Las empresas tienen que reforzar sus defensas en dos frentes: evitar que sus propios dispositivos se conviertan en bots emisores de DoS y proteger sus redes, aplicaciones web y centros de datos contra los devastadores ataques de amplificación DDoS. También necesitan gestionar los riesgos si sus proveedores de servicios de misión crítica sucumben a un ataque de amplificación DDoS.
Bloqueo de ataques DDoS
Las empresas basadas en la web, los servicios en la nube y los proveedores de Internet fueron los principales objetivos empresariales de los ataques DDoS en la segunda mitad de 2021, y la mayoría de los ataques procedían de IP chinas, según el informe de tendencias DDoS de Cloudflare. En el primer trimestre de 2022, la mayoría de las IP que enviaban paquetes DDoS tenían su sede en Estados Unidos. Los ataques DDoS de la capa de aplicación web aumentaron un 164% entre 2021 y 2022, según el informe de Cloudflare, mientras que los ataques de la capa de red aumentaron un 71%.
"Hemos visto ataques sostenidos a los proveedores de VoIP que afectan a todos sus clientes empresariales que utilizan ese servicio", dice Patrick Donahue, vicepresidente de producto de Cloudflare, que bloquea un promedio de 86 mil millones de amenazas DDoS al día. "A veces vemos que los ISP se ven desbordados, lo que repercute en sus clientes empresariales y es entonces cuando los ISP acuden a nosotros para proteger toda su red".
Los cortafuegos antiguos, desplegados físicamente en el centro de datos, también pueden convertirse en otro punto de estrangulamiento para la denegación de servicio, porque no pueden escalar a los ataques amplificados de hoy en día. Por eso, sugiere que se identifique dónde están los puntos débiles. Por ejemplo, consideremos el impacto de la caída de un sitio web de marketing, en comparación con un centro de llamadas, si éste es el negocio principal.
El DDoS también se utiliza habitualmente como cortina de humo para ocultar otras acciones más maliciosas en la red, en particular la actividad de ransomware, por lo que es fundamental establecer alertas sobre la actividad de DoS al primer aviso, añade Donahue.
Sin embargo, detectar los ataques DDoS a gran escala lanzados por el IoT es más difícil porque los dispositivos IoT secuestrados utilizan paquetes legítimos que envían solicitudes web legítimas, que la inspección de paquetes tradicional no está preparada para buscar. Las defensas tradicionales están preparadas para detectar patrones conocidos de direcciones IP, cabeceras y cargas útiles falsificadas. Debido al gran volumen de tráfico, bloquear los ataques DDoS amplificados no es posible ni práctico para la mayoría de las organizaciones, por lo que es fundamental una protección que vaya más allá de la inspección básica de paquetes y el análisis de comportamiento. "Cloudflare distribuye el tráfico en su red global, que puede absorber enormes ataques DDoS. La mayoría de las organizaciones no tienen esa capacidad", dice Clark.
Cloudflare bloquea los paquetes y peticiones DDoS entrantes lo más cerca posible de su origen. Nokia Deepfield aborda esto en la capa de enrutamiento, mediante la supervisión constante del tráfico en su red global y la actualización de su inteligencia a medida que se materializan nuevas tendencias DDoS en sus fuentes.
Prevención del secuestro de dispositivos
No es de extrañar que los dispositivos IoT se den cuenta de su potencial de botnet. Sus CPUs son más potentes, sus tiempos de procesamiento más rápidos y están distribuidos por todo el mundo en las instalaciones y en la nube. Clark afirma que los dispositivos de consumidores y empresas están siendo reclutados en estas redes porque carecen de controles de seguridad básicos, y porque las redes de bots formadas por dispositivos IoT serán mucho más difíciles de desmantelar.
Por ello, las organizaciones deben evitar que sus propios dispositivos IoT sean arrastrados a la red de bots, afirma Piotr Kijewski, director general de la Fundación Shadowserver y fundador del Proyecto Honeynet polaco. "Si los responsables de TI quieren reducir la cantidad de ataques DDoS contra sus organizaciones, tienen que empezar por asegurar su propia red y reducir su superficie de ataque. Eso comienza con el mantenimiento de un inventario de los activos de IoT que están expuestos en Internet".
La Fundación Shadowserver, que comenzó a rastrear las redes de bots que envían ataques DDoS en 2005, contabilizó 560.000 ataques DDoS separados en 30 días desde mediados de marzo hasta mediados de abril de 2022. Si bien no se monitorean los bots de IoT específicamente, Kijewski dice que muchas de las redes de bots se construyen en la parte superior de las cámaras IP, los sistemas de video DVR y NVR, los routers domésticos y los dispositivos de almacenamiento conectados.
"Para los ataques de amplificación, vemos que los vectores más populares son los servicios abiertos NTP, LDAP y SNMP. Por eso es importante intentar reducir el número de servicios abiertos de los que se puede abusar", aconseja Kijewski.
Para aquellos dispositivos IoT que no pueden ser parcheados, actualizados o asegurados, la monitorización de la red debe ser ajustada para detectar desviaciones en las acciones y el tráfico de salida de estos dispositivos, para indicar que está tomando el control. Pesce, de InGuardians, también sugiere una VLAN separada o NAC para conectar el IoT a través de ella. "Estos son controles de red eficaces y la base de la confianza cero, que incluye la monitorización y el inventario de activos. Cuando se sabe lo que hay en la red y los componentes que la componen, se puede supervisar activamente la actividad inusual, incluidas las notificaciones de nuevos dispositivos añadidos a la red. Y, cuando sea posible, asegurarse de que se aplican los parches".
Una de las señales inequívocas de una infección de botnet dentro de la propia red es la lentitud del rendimiento, añade Labovitz, de Nokia, que recomienda ajustar los sistemas de supervisión de la red para detectar y alertar inmediatamente de las ralentizaciones de la red. Las empresas que dependen de servicios como la VoIP y la conectividad también deberían buscar soluciones en sus operadores y proveedores, añade. "Esto nos acerca a la raíz. Tenemos que resolver esto a nivel de la industria y fomentar las mejores prácticas comunes, como el BGP firmado y seguro, el filtrado y la "fontanería" IP de Internet."
