Malware de IoT muestra comportamiento destructivo

Los investigadores han observado ataques de malware contra dispositivos IoT que eliminan datos de los sistemas infectados.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Los hackers han comenzado a agregar rutinas de borrado de datos al malware que están diseñando para infectar a la Internet de cosas (IoT) y otros dispositivos conectados.

Dos ataques observados recientemente mostraron este comportamiento pero, al parecer, con diferentes propósitos.

Los investigadores de Palo Alto Networks, encontraron un nuevo programa malicioso llamado Amnesia, el cual infecta a las videograbadoras digitales a través de una vulnerabilidad de antigüedad.

Amnesia es una variación de un viejo cliente de botnet de IOT llamado Tsunami pero lo que lo hace interesante es que intenta detectar si se está ejecutando dentro de un entorno virtualizado.

El malware realiza algunas comprobaciones para determinar si el entorno Linux en el que se está ejecutando es en realidad una máquina virtual basada en VirtualBox, VMware o QEMU.

Tales entornos son utilizados por los investigadores de seguridad para crear sandboxes de análisis o honeypots.

El problema de los routers

La detección de máquinas virtuales ha existido en los programas de malware para Windows durante años pero esta es la primera vez que esta característica se ha observado en el malware construido para dispositivos basados ​​en Linux.

Si Amnesia detecta la presencia de una máquina virtual, intentará borrar directorios críticos del sistema de archivos usando el comando de shell “rm -rf” de Linux para destruir cualquier evidencia que pudieran haber recopilado.

Mientras tanto, los investigadores del proveedor de servicios de seguridad de Radware descubrieron un ataque de malware diferente , dirigido a dispositivos IO que han denominado BrickerBot.

Este ataque se inicia desde routers comprometidos y puntos de acceso inalámbricos contra otros dispositivos incrustados basados ​​en Linux.

El malware intenta autenticarse con combinaciones comunes de nombre de usuario y contraseña en dispositivos que tienen el servicio Telnet en ejecución y están expuestos a Internet.

Si tiene éxito, inicia una serie de comandos destructivos destinados a sobrescribir datos de las particiones del dispositivo. También intenta eliminar la conexión a Internet y hacer que el dispositivo sea inutilizable.

Pocos sobrevivientes

Mientras que algunos dispositivos pueden sobrevivir al ataque porque usan particiones de sólo lectura, muchos no lo lograran y necesitarán un reflash de firmware.

Además, es probable que se pierdan las configuraciones. En el caso de routers con puertos USB o dispositivos de almacenamiento conectados en red, también se pueden borrar los datos de los discos duros externos.

De hecho, una de las variaciones de ataque de BrickerBot ni siquiera se limita a dispositivos incrustados e IoT y funcionará en cualquier sistema basado en Linux que sea accesible a través de Telnet, si tiene credenciales débiles o por defecto.

No está claro cuál es el objetivo detrás de los ataques de BrickerBot.

El creador del malware podría ser alguien que desee inhabilitar dispositivos vulnerables en Internet para que no puedan ser infectados y abusados ​​por otros hackers.

Algunos de los mayores ataques distribuidos de denegación de servicio (DDoS) observados durante el año pasado se originaron en botnets formados por dispositivos IoT hackeados, por lo que la intención podría ser forzar a los usuarios a tomar medidas y arreglar o reemplazar sus dispositivos vulnerables.

La latencia como amenaza

Es improbable que la mayoría de los usuarios sepan si sus enrutadores, cámaras IP o sistemas de almacenamiento conectados a la red están infectados con malware y se están utilizando en ataques DDoS, ya que el impacto en su rendimiento puede ser imperceptible.

Sin embargo, sabrán inmediatamente que algo está mal si son golpeados por BrickerBot porque sus dispositivos dejarán de funcionar y muchos de ellos probablemente requerirán intervención manual para arreglarlos.

El bot de Amnesia es un muy buen ejemplo de cómo las vulnerabilidades pueden permanecer durante años en los dispositivos embebidos sin conseguir parches.

La falla explotada por el malware para propagarse se dio a conocer hace más de un año y afecta a más de 70 marcas de videograbadoras digitales (DVR), es decir, los sistemas que agrupan a las cámaras de circuitos cerrados de televisión.

La razón por la que tantos modelos DVR se vieron afectados es que, aunque son diferentes empresas y marcas, realmente obtuvieron el hardware y el firmware del mismo fabricante de equipos originales (OEM) en China: una empresa llamada Shenzhen TVT Digital Technology.

Vulnerabilidades en serie

Esta práctica denominada “white labeling” es común en muchos dispositivos IoT, incluyendo cámaras IP y routers, y hace que la distribución de parches de seguridad a los dispositivos afectados sea muy difícil.

También es una de las razones por las que muchos de estos dispositivos no tienen actualizaciones automáticas.

Por el momento, hay más de 227.000 DVRs en todo el mundo que tienen esta vulnerabilidad y están directamente expuestos a Internet, según Palo Alto Networks. El mayor número de ellos está en Taiwán, los Estados Unidos, Israel, Turquía y la India.

Al comprar una cámara, un enrutador, un sistema NAS u otro dispositivo IoT, los usuarios deben mirar el historial de seguridad del fabricante: ¿La compañía tiene un punto de contacto dedicado para problemas de seguridad? ¿Cómo ha manejado vulnerabilidades en sus productos en el pasado? ¿Publica avisos de seguridad? ¿Libera regularmente parches de seguridad? ¿Apoya sus productos por un tiempo razonable? ¿Los productos tienen una función de actualización automática?

Las respuestas a estas preguntas deben informar a las decisiones de compra, además del precio en sí, porque todo el software tiene defectos y las vulnerabilidades se encuentran regularmente en dispositivos baratos y caros.

Es cómo los fabricantes frente a los defectos que realmente hace la diferencia.