Otra red 'botnet' de dispositivos IoT con piezas de Mirai que lanza ataques DDoS

La red 'botnet' Persirai, compuesta por piezas de código malicioso de Mirai, habría tomado el control de más de 100.000 cámaras de video vigilancia IP para lanzar ataques.

Camara IP exteriores

Pershing, que incorpora fragmentos de código Mirai, puede atacar a cámaras de vigilancia IP mediante el código malicioso de Mirai, para usarlas posteriormente y lanzar ataques distribuidos de denegación de servicio contra infraestructuras.

Por el momento, Persirai ha atacado a al menos cuatro objetivos distintos, comenzando con un patrón predecible, según informan los investigadores de la compañía de seguridad Trend Micro. Persirai se aprovecha de una vulnerabilidad conocida en las cámaras IP para infectarlas, mediante un proceso según el cual les pide que descarguen malware de un servidor y luego los pone a trabajar, ya sea infectando a otras cámaras vulnerables, o bien, lanzando ataques DDoS. Según dicen los investigadores, está basado en la observación de los investigadores, una vez que la cámara IP de la víctima recibe comandos C&C, que ocurre cada 24 horas a las 12:00 p.m. UTC, pone en marcha los ataques tipo DDoS .

Pese a que han confirmado a al menos cuatro víctimas de haber sufrido este tipo de ataques, los investigadores todavía no pueden desvelar quienes son. Una vez descargado el malware, se ejecuta en la memoria y se elimina de la unidad del disco duro de almacenamiento, informa Trend Micro, por lo que si los dispositivos se reinician, se deshacen de la infección. Como resultado, los atacantes están constantemente buscando dispositivos de este tipo para volverlos a infectar.

Trend Micro informa que más de 1000 modelos distintos de cámaras de diferentes fabricantes son vulnerables al ataque. "En el momento del descubrimiento inicial, durante la primera y segunda semana de abril, alrededor de 150.000 cámaras estaban en uso por las botnets", afirman los investigadores. Sin embargo, los últimos resultados muestran alrededor de 99.000 dispositivos desde el pasado 10 de mayo.

Procedencia Iraní y Persa

Las investigaciones de Persirai han desvelado que los servidores utilizaron el código de país .IR. "Se trata de un código de país específico que es administrado por un instituto iraní de investigación restringido sólo a los iraníes. A su vez, se han encontrado caracteres persas especiales que el autor del malware usó" informan desde Trend Micro.

El investigador independiente Pierre Kim ha desvelado como Persirai consigue entrar en las cámaras: "El protocolo Cloud establece túneles UDP de texto claro (para evitar dispositivos de seguridad NAT y firewalls) entre un atacante y las cámaras, usando sólo el número de serie de la cámara que se convierte en objetivo. Es entonces cuando el atacante puede automáticamente adquirir las credenciales de las cámaras".

Según cuenta Kim, la vulnerabilidad existe en 1.250 modelos de cámaras basadas en hardware OEMed y a las diferentes marcas que abastecen. "La interfaz HTTP es diferente para cada proveedor, pero comparten las mismas vulnerabilidades. Los proveedores OEM usaron una versión personalizada de GoAhead [servidor web incorporado] y agregaron código vulnerable dentro" señala Pierre Kim, uno de los investigadores. Ésta recomienda que las cámaras sean desconectadas de Internet de manera inmediata hasta que sea lanzado algún parche de seguridad. 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper