Investigación

Nuevas tendencias en el mundo de las amenazas IoT

El interés de los delincuentes por los diversos tipos de dispositivos del Internet de las cosas sigue creciendo: en la primera mitad de 2018 detectamos el triple de muestras de malware que ataca a dispositivos “inteligentes” que en todo el año 2017. Por cierto, en 2017 el número de este malware fue diez veces mayor que en 2016. La tendencia más notable es que las cosas van de mal en peor.

Decidimos estudiar qué vectores de ataque usan los delincuentes para infectar dispositivos “inteligentes”, qué malware se carga en el sistema cuando un ataque da resultado y qué puede significar todo esto para el propietario del dispositivo y para las víctimas de las nuevas botnets que se crean.


Número de muestras de malware para dispositivos IoT en la colección de Kaspersky Lab, 2016-2018.

Uno de los vectores más populares de los ataques y, en consecuencia, de la infección de los dispositivos sigue siendo los que buscan conseguir la contraseña de Telnet. En el segundo trimestre de 2018, el número de este tipo de ataques contra nuestras trampas fue tres veces mayor que todos los demás combinados.

servicio % de ataques
Telnet 75,40%
SSH 11,59%
Otros 13,01%

La mayoría de las veces, los atacantes cargaban un malware de la familia Mirai (20.9%) en los dispositivos IoT.

# malware cargado % de ataques
1 Backdoor.Linux.Mirai.c 15,97%
2 Trojan-Downloader.Linux.Hajime.a 5,89%
3 Trojan-Downloader.Linux.NyaDrop.b 3,34%
4 Backdoor.Linux.Mirai.b 2,72%
5 Backdoor.Linux.Mirai.ba 1,94%
6 Trojan-Downloader.Shell.Agent.p 0,38%
7 Trojan-Downloader.Shell.Agent.as 0,27%
8 Backdoor.Linux.Mirai.n 0,27%
9 Backdoor.Linux.Gafgyt.ba 0,24%
10 Backdoor.Linux.Gafgyt.af 0,20%

TOP 10 de malware cargado en el dispositivo IoT infectado como resultado de haber conseguido la contraseña de Telnet

Y este es el TOP 10 de países desde donde se lanzaron ataques a nuestras trampas mediante la búsqueda de contraseñas de Telnet:


Distribución geográfica del número de dispositivos infectados, segundo trimestre de 2018.

El segundo trimestre de 2018, Brasil (23%) se convirtió en el líder por el número de direcciones IP únicas desde donde procedieron los ataques de búsqueda de contraseñas de Telnet. El segundo lugar, por un pequeño margen, lo ocupó China (17,22%). En nuestra lista Rusia ocupó cuarto lugar (7%). En total, en el período comprendido entre el 1 de enero y julio de 2018, nuestra trampa Telnet registró más de 12 millones de ataques desde 86.560 direcciones IP únicas y se descargó software malicioso desde 27.693 direcciones IP únicas.

Dado que algunos propietarios de dispositivos inteligentes cambian la contraseña predeterminada de Telnet por una más compleja, y muchos dispositivos no son compatibles con este protocolo, los intrusos están en constante búsqueda de nuevas formas de infección. Esto se ve facilitado por la alta competencia entre los creadores de virus, que reduce la efectividad de los ataques de contraseñas: en caso de una incursión exitosa en el dispositivo, se cambia la contraseña y se bloquea el acceso a Telnet.

Un ejemplo del uso de una “tecnología alternativa” es la botnet Reaper, que en sus activos de fines de 2017 contaba con alrededor de 2 millones de dispositivos IoT. En lugar de buscar contraseñas para Telnet, esta botnet explotaba vulnerabilidades conocidas en el software:

Ventajas de este método de distribución en comparación con la búsqueda de contraseñas:

  • La infección ocurre mucho más rápido;
  • Cerrar una vulnerabilidad en el software es mucho más difícil que cambiar la contraseña o deshabilitar o bloquear el servicio.

A pesar de que este método es más complicado, les gusta a muchos criminales, y no tardaron en producir nuevos troyanos que utilizan vulnerabilidades conocidas en dispositivos inteligentes.

Nuevos ataques, antiguo malware

Para ver qué vulnerabilidades está tratando de explotar el malware, hicimos un análisis de los datos sobre los intentos de conexión a varios puertos en nuestras trampas. Y este es el cuadro del segundo trimestre de 2018:

Servicio Puerto % de ataques Vector de ataque Familias de malware
Telnet 23, 2323 82,26% Fuerza bruta Mirai, Gafgyt
SSH 22 11,51% Fuerza bruta Mirai, Gafgyt
Samba 445 2,78% EternalBlue, EternalRed, CVE-2018-7445
tr-069 7547 0,77% RCE en la implementación del protocolo TR-069 Mirai, Hajime
HTTP 80 0.76% Intentos de explotar vulnerabilidades en el servidor web o averiguar la contraseña del panel de administración
winbox (RouterOS) 8291 0.71% Utilizado para identificar RouterOS (MikroTik) y para ataques a través del servicio winbox Hajime
Mikrotik http 8080 0.23% RCE en MikroTik RouterOS <6.38.5 Chimay-Red Hajime
MSSQL 1433 0.21% Ejecución de código arbitrario para ciertas versiones (2000, 2005 y 2008) o cambio de la contraseña del administrador, robo de datos
GoAhead httpd 81 0.16% RCE en cámaras IP GoAhead Persirai, Gafgyt
Mikrotik http 8081 0.15% Chimay-Red Hajime
Etherium JSON-RPC 8545 0.15% Evasión de la autorización (CVE-2017-12113)
RDP 3389 0.12% Fuerza bruta
XionMai uc-httpd 8000 0.09% Desbordamiento de búfer (CVE-2018-10088) en XionMai uc-httpd 1.0.0 (algunos dispositivos de fabricantes chinos) Satori
MySQL 3306 0.08% Ejecución de código arbitrario para ciertas versiones (2000, 2005 y 2008) o cambio de la contraseña del administrador, robo de datos

Por el momento, la gran mayoría de los ataques siguen siendo de fuerza bruta contra contraseñas de Telnet y SSH. En tercer lugar por su popularidad están los ataques contra el servicio SMB, que proporciona acceso remoto a los archivos. Todavía no hemos visto malware para IoT que ataque este servicio. Pero algunas versiones contienen vulnerabilidades graves y conocidas: EternalBlue (Windows) y EternalRed (Linux) con cuya ayuda se propagaba el infame troyano cifrador WannaCry y el minero malicioso EternalMiner.

Este es el desglose de los dispositivos IoT probablemente infectados que responden desde las direcciones IP que atacaron nuestros honeypots en el Segundo trimestre de 2018:

Dispositivo % de dispositivos infectados
MikroTik 37,23%
TP-Link 9,07%
SonicWall 3,74%
AV tech 3,17%
Vigor 3,15%
Ubiquiti 2,80%
D-Link 2,49%
Cisco 1,40%
AirTies 1,25%
Cyberoam 1,13%
HikVision 1,11%
ZTE 0,88%
Unspecified device 0,68%
DVR desconocido 31,91%

Como se puede ver, los dispositivos MikroTik que se ejecutan bajo RouterOS lideran con un gran margen. La razón, al parecer, es la vulnerabilidad Chimay-Red. También hubo cosas curiosas: entre otros tipos de ataque, nuestras trampas fueron atacadas por treinta y tres lavavajillas Miele (0,68% del número total de ataques). Lo más probable es que se hayan infectado a través de una vulnerabilidad conocida desde marzo de 2017, la CVE-2017-7240 en el servidor web PST10 WebServer, que se utiliza en su firmware.1

Puerto 7547

Son muy populares los ataques contra el servicio de administración remota de dispositivos (especificación TR-069), que funciona en el puerto 7547. Según los datos de Shodan, hay más de 40 millones de dispositivos en el mundo que tienen este puerto abierto. Y esto a pesar de que no hace mucho tiempo esta vulnerabilidad fue la causa de que se infectara un millón de enrutadores de Deutsche Telekom, y que también “ayudó” a la propagación de malware de las familias Mirai y Hajime.

Otro tipo de ataque explota la vulnerabilidad Chimay-Red en los enrutadores MikroTik con la versión RouterOS anterior a 6.38.4. En marzo de 2018, Hajime se difundió activamente con su ayuda.

Cámaras IP

Los atacantes también prestaron atención las cámaras IP: en marzo de 2017, se detectaron varias vulnerabilidades graves en el software del dispositivo GoAhead, y un mes después de publicada la información aparecieron nuevas modificaciones de los troyanos Gafgyt y Persirai, que explotaban estas vulnerabilidades. Una semana después de la propagación activa de estos programas maliciosos, la cantidad de dispositivos infectados era ya de 57,000.

El 8 de junio de 2018 se publicó una prueba de concepto para la vulnerabilidad CVE-2018-10088 del servidor web XionMai uc-httpd, utilizado en algunos dispositivos “inteligentes” de fabricación china (por ejemplo, KKMoon DVR). Al día siguiente registramos el triple de intentos de detectar dispositivos que utilizan este servidor web. El culpable de esta avalancha fue el troyano Satori, que había atacado anteriormente los enrutadores GPON.

Nuevo malware y amenazas para el usuario final

Ataques DDoS

La principal tarea que los cibercriminales resuelven con la ayuda del malware para IoT fue, y sigue siendo, la organización de ataques DDoS. Los dispositivos “inteligentes” infectados se vuelven parte de una red de bots que, al recibir un comando, comienza a atacar la dirección especificada, privando al host de la capacidad de procesar las solicitudes de los usuarios reales. Los troyanos de la familia Mirai y sus clones, en particular el malware Hajime, siguen lanzando estos ataques.

Este quizás sea el escenario más inofensivo para el usuario final. El peligro máximo que amenaza al propietario del dispositivo infectado (y que es algo muy poco probable) es que el proveedor de Internet lo bloquee. Y en la mayoría de los casos, para “curar” el dispositivo basta con reiniciarlo.

Extracción de criptomonedas

Otro tipo de peligro está asociado con las criptomonedas. Por ejemplo, el malware para IoT puede instalar un programa de minería en un dispositivo infectado. Pero debido al insignificante poder de procesamiento de los dispositivos “inteligentes”, la conveniencia de tal ataque permanece en cuestión, incluso a pesar de que en potencia el número de dispositivos infectados pueda ser grande.

Los autores del troyano Satori inventaron una forma más astuta y efectiva de ganarse un par de criptomonedas. En su escenario, el dispositivo IoT actúa como un tipo de “clave” que abre el acceso a una computadora de alto rendimiento:

  • En la primera etapa, los atacantes intentan infectar el mayor número de enrutadores posible, utilizando vulnerabilidades conocidas, a saber:
    • CVE-2014-8361 – RCE en el servicio miniigd SOAP en Realtek SDK;
    • CVE 2017-17215 – RCE en el firmware de los enrutadores Huawei HG532;
    • CVE-2018-10561, CVE-2018-10562 – omisión de autenticación y posibilidad de ejecutar comandos arbitrarios en los enrutadores Dasan GPON
    • CVE-2018-10088 – desbordamiento buffer en XiongMai uc-httpd 1.0.0, utilizado en algunos firmwares de enrutadores y otros dispositivos “inteligentes” de algunos fabricantes chinos.
  • Haciendo uso de enrutadores comprometidos y la vulnerabilidad CVE-2018-1000049 en el mecanismo de administración remota de software para la minería de moneda criptográfica Etherium – Claymore, los delincuentes reemplazar la dirección de la billetera por la suya propia.

Robo de datos

El troyano VPNFilter , descubierto en mayo de 2018, persigue otros objetivos. El principal de ellos es interceptar el tráfico del dispositivo infectado, extraer los datos importantes (inicios de sesión, contraseñas, etc.) y enviarlos al servidor de los delincuentes. Estas son las principales características de VPNFilter:

  • Arquitectura modular. Los autores del malware pueden “agregarles” nuevas funciones “sobre la marcha”. Así, a principios de junio de 2018, se descubrió un nuevo módulo que podría inyectar código JavaScript en las páginas web interceptadas.
  • Resistencia a los reinicios del dispositivo. El troyano se registra en el planificador crontab, que es estándar para los sistemas Linux y también puede cambiar los parámetros de configuración en la memoria no volátil (NVRAM) del dispositivo.
  • Utilización de la red TOR para comunicarse con su servidor de administración.
  • Capacidad de autodestruirse y deshabilitar el dispositivo. Al recibir determinado comando, el troyano se borra a sí mismo, y también sobrescribe la parte crítica del firmware con datos basura y luego reinicia el dispositivo.

Aún se desconoce el método de propagación del troyano: su código no contiene ningún mecanismo de autopropagación. Sin embargo, nos inclinamos a creer que utiliza vulnerabilidades conocidas en el software para realizar la infección.

En el primer informe sobre VPNFilter se mencionaban 500 mil dispositivos infectados. Desde entonces, este número ha crecido, y la lista de fabricantes de dispositivos vulnerables también ha aumentado significativamente. A mediados de junio, incluía las siguientes marcas:

  • ASUS
  • D-Link
  • Huawei
  • Linksys
  • MikroTik
  • Netgear
  • QNAP
  • TP-Link
  • Ubiquiti
  • Upvel
  • ZTE

La situación se ve agravada porque los dispositivos de estos fabricantes no solo se utilizan en redes corporativas, sino también a menudo como enrutadores domésticos de usuarios comunes y corrientes.

Conclusión

Los dispositivos “inteligentes” son cada vez más y, según algunas previsiones, para 2020 su número superará varias veces a la población mundial. Sin embargo, los fabricantes todavía no prestan suficiente atención a su seguridad: no ponen recordatorios sobre la necesidad de cambiar las contraseñas predeterminadas durante la primera configuración, ni notificaciones sobre el lanzamiento de nuevas versiones de firmware, y el proceso de actualización puede ser complicado para el usuario promedio. Todo esto hace que los dispositivos IoT sean un excelente blanco para los delincuentes, porque son más fáciles de infectar que una computadora personal y, sin embargo, pueden tener gran importancia en la infraestructura del hogar: algunos controlan todo el tráfico de Internet, otros pueden grabar videos y otros controlan el funcionamiento de otros dispositivos (por ejemplo, el aire acondicionado).

El malware para dispositivos “inteligentes” se está desarrollando no sólo cuantitativa sino también cualitativamente: en el arsenal de los atacantes aparecen cada vez más exploits usados para autopropagación, y los dispositivos infectados no solo se usan para lanzar ataques DDoS, sino también para robar datos personales y extraer criptomonedas.

He aquí algunos consejos simples que le ayudarán a minimizar el riesgo de infección de sus dispositivos inteligentes:

  • No abra acceso al dispositivo desde redes externas si no es imprescindible;
  • El reinicio periódico ayuda a deshacerse del malware ya instalado (pero en la mayoría de los casos, el riesgo de reinfección permanece);
  • Verifique cada cierto tiempo si hay nuevas versiones de firmware y actualice el dispositivo;
  • Use contraseñas complejas de al menos 8 caracteres de longitud, que contengan letras mayúsculas y minúsculas, números y caracteres especiales;
  • Cambie las contraseñas predeterminadas después del primer inicio del dispositivo, durante la configuración inicial (incluso si el dispositivo no lo solicita);
  • Cierre o bloquee los puertos que no vaya a utilizar, si existe tal opción. Por ejemplo, si no se conecta al enrutador a través de Telnet (puerto tcp:23), debe desactivarlo para bloquear brechas que puedan ser usadas por los atacantes.

1 Fe de errores:
La versión anterior del texto indicaba incorrectamente que 33 lavavajillas Miele habían lanzado ataques contra los honeypots de Kaspersky Lab utilizados para detectar botnets.

Después de la publicación, un representante de Miele nos envió nuevos detalles para que pudiéramos revisar nuestras conclusiones al respecto.
Ahora entendemos que los intentos de conexión fueron realizados por otros dispositivos (enrutadores u otros dispositivos) desde cuyas redes direcciones IP externas se lanzaron ataques contra nuestros honeypots.

Queremos agradecer a la compañía Miele por la información enviada y por la oportunidad de rectificar nuestras conclusiones.
Pedimos disculpas por cualquier confusión causada.

Nuevas tendencias en el mundo de las amenazas IoT

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada