Las redes zombi Masuta y PureMasuta arman un ejército compuesto por routers comprometidos

Investigadores de la empresa de seguridad informática NewSky han indagado sobre las características y el funcionamiento de la nueva red zombi Masuta, que tiene la particularidad de estar compuesta por routers desprotegidos. Los estudios develaron que los creadores de la infame red zombi Satori podrían estar detrás de la nueva amenaza.

“Analizamos dos variantes de una red zombi llamada Masuta, compuesta por objetos conectados a Internet, donde observamos la participación de un atacante conocido y descubrimos que por primera se estaba explotando una vulnerabilidad en routers en las operaciones de una red zombi”, dijo NewSky en su investigación.

Las dos variantes descubiertas por NewSky tienen algunas diferencias: por un lado está Masuta, que como otros programas que explotan el Internet de las Cosas, irrumpe en los dispositivos con las credenciales predeterminadas para tratar de controlarlos. Por otro lado está “PureMasuta”, una versión más sofisticada de la amenaza que explota una vieja vulnerabilidad del administrador de redes que fue descubierta en 2015 por el investigador Craig Heffner y afecta al Protocolo de Administración de Redes Domésticas (HNAP) de D-Link.

“La vulnerabilidad que se está utilizando en los ataques de la red zombi PureMasuta es la HNAP, que funciona con el protocolo SOAP”, explicó NewSky en su informe sobre la amenaza. “Se puede elaborar una solicitud SOAP que pase por alto la autentificación usando hxxp://purenetworks.com/HNAP1/GetDeviceSettings. También es posible ejecutar comandos de sistema (lo que permite la ejecución arbitraria de código) a causa del manejo indebido de las cadenas de caracteres. Cuando se combinan ambos casos, se puede formar una solicitud SOAP que en primer lugar sobrepasa la autentificación y en segundo lugar causa la ejecución arbitraria de código”, explicó NewSky.

Como la vulnerabilidad permite que se ejecute cualquier comando desde GetDeviceSettings, los atacantes ejecutan un wget para conseguir y ejecutar los scripts necesarios para incluir el dispositivo en su red zombi y comenzar a usarlo con fines maliciosos.

Al estudiar la red zombi, los investigadores se dieron cuenta de que el servidor de comando y control que usa PureMasuta (93.174.93.63) es el mismo que el de las variantes originales de Masuta, lo que significa que es una evolución de esta amenaza y ambas están manejadas por los mismos criminales.

A su vez, se cree que los operadores de Masuta también están a cargo de la red zombi Satori, una variante de la conocida red Mirai, que escandalizó al mundo de Internet en 2016 cuando se la descubrió tratando de explotar una vulnerabilidad que se acababa de descubrir en los routers domésticos Huawei HG532.

NetSky atribuye la red Masuta a un grupo que se conoce como “Nexus Zeta”, que adopta el nombre de la URL de Comando y Control “nexusiotsolutions(punto)net”, que también utiliza la red zombi Satori.

La amenaza de Masuta no para de crecer desde Septiembre y ha llegado a reclutar más de 2400 IPs desde entonces. Para protegerse de los nuevos ataques de Masuta y PureMasuta es necesario tomar las precauciones de seguridad básicas que también ayudan a proteger contra otro tipo de amenazas: cambiar la contraseña predeterminada del dispositivo para que no sea de conocimiento público y asegurarse de mantener el firmware de los dispositivos actualizado para evitar que se exploten viejas vulnerabilidades.

Fuentes

Satori’s threat actors are behind the new Masuta botnet that is targeting routers in the wild Security Affairs

Fresh botnet recruiting routers with weak credentials The Register

Masuta : Satori Creators’ Second Botnet Weaponizes A New Router Exploit. NewSky Security