La familia BASHLITE infecta 1 millón de cámaras y dispositivos digitales

Investigadores de seguridad afirman que los responsables de una red zombi han comprometido más de un millón de cámaras web y grabadores de vídeo digitales (DVR) para usarlos en ataques DDoS.

Según Level 3 Threat Research Labs, una pequeña familia de malware conocida como Lizkebab, BASHLITE, Torlus y Gafgy está a cargo de las redes zombi que lanzan estos ataques.

“Esta investigación nos sorprendió muchísimo”, dijo Dale Drew, investigador de seguridad de Level 3 Communications. “Tomamos redes zombi bastante conocidas y comunes y nos propusimos encontrar la mayor cantidad posible de detalles interesantes. La sorpresa fue abrumadora. Cuando vimos el malware BASHLITE, por ejemplo, descubrimos que estaba ligado a redes zombi mucho más organizadas y estructuradas de lo que pensábamos”.

Según los investigadores, BASHLITE es responsable de una cantidad proporcional de C2 y redes zombi que cambiaban de tamaño entre una semana y otra. En julio, rastrearon los servidores de comando y control vinculados a la familia del programa, que al momento se comunicaba con solo 74 bots. Después, se dieron cuenta de que la familia se estaba comunicando con 120.000 bots. Drew dijo que un análisis más cercano de BASHLITE les llevó a una red zombi grande, con casi 100 servidores de comando y control. Algunos C2 excedían los 100 ataques DDoS diarios y un 75% de ellos duraba menos de 5 minutos.

“Lo que aprendimos es que existe una falsa concepción de que algunas redes zombis que parecen pequeñas no tienen la capacidad ni tamaño para hacer grandes daños”, dijo Drew. “Ya se habían estudiado estas redes zombi, pero como están muy compartimentadas, sólo se las había visto por partes sin tener una noción clara de su totalidad”, dijo Drew.

La compañía indicó en el informe técnico de su investigación que grupos de hackers como Lizard Squad y Poode Corp están detrás del programa malicioso, atacando cada vez más seguido los dispositivos IoT para construir redes zombi, realizar ataques DDoS y ofrecer sus servicios de ataque.

“Una vez que el atacante ha conseguido el acceso al sistema, sus herramientas no se molestan en identificar la arquitectura del dispositivo comprometido. En vez de ello, ejecutan los comandos ‘busybox wget’ y ‘wget’ para recuperar los datos de sus ataques DDoS. Después tratan de ejecutar varias versiones del programa, compilados para diferentes arquitecturas, hasta que alguna de ellas se ejecute”, dice el informe.

Del millón del dispositivos afectados, el 96% son dispositivos de Internet de las Cosas (el 95% de los cuales son cámaras y DVRs), alrededor de 4% son routers domésticos y menos del 1% está vinculado a servidores Linux. “Esto representa un cambio drástico en la composición de redes zombis comparada con las redes para DDoS basadas en servidores y routers domésticos que habíamos visto antes”, dijeron los investigadores.

La mayoría de los bots usados en los ataques se encuentran en Taiwan, Brasil y Colombia. Los investigadores dijeron que se atacaron DVRs y cámaras de seguridad porque se consideran blancos fáciles. Muchos vienen configurados con Telnet e interfaces web y utilizan credenciales predeterminadas. “La mayoría de estos dispositivos ejecutan algún tipo de sistema Linux que tienen integrado. Si se combina esto con el hecho de que funcionan con el ancho de banda necesario para transmitir un video, se convierten en poderosos bots de DDoS”, dijeron los investigadores.

Flashpoint, que ayudó a Level 3 con su investigación de BASHLITE, dijo que estos últimos meses la compañía ha estado rastreando 200 C2s vinculados a esta familia de malware. En contraste con programas más sofisticados, las IPs de Comando y Control vinculadas a la operación están codificadas de forma rígida en el programa y especifican una sola dirección IP, lo que las hace blancos fáciles para los investigadores de seguridad.

“No parece que esto les importe a los dueños de estas redes zombi, porque les es fácil crear un nuevo servidor de comando y control y volver a comprometer sus bots”, escribieron los expertos.

Los investigadores notaron que con el decaimiento de la popularidad de los TCP el último mes, la mayoría de los ataques que se lanzan son simples saturaciones de UDP y TCP.

“Este programa malicioso es capaz de suplantar las direcciones originales, pero rara vez vemos que se utilice esta característica. Algunas variantes también permiten los ataques HTTP, que realizan conexiones completas con los servidores web de la víctima, dice el informe.

La mayoría de los dispositivos infectados están vinculados con unas pocas compañías con estándares de seguridad laxos o nulos en sus dispositivos IoT, dijo Level 3. Se mencionó de forma específica a Dahua Technology, una de las tres compañías afectadas por el programa. Drew dijo que la empresa está desarrollando un parche para la vulnerabilidad y lo pondrá en efecto pronto.

Tampoco es la primera vez que se utilizan videocámaras con acceso a Internet en ataques de redes zombi. Hace unos meses, los investigadores de Sucuri descubrieron una red zombi mucho más pequeña, compuesta por 25.000 dispositivos dispositivos de un circuito cerrado de televisión. El Equipo de Ingeniería y Respuesta de Seguridad de Arbor (ASERT) también encontró este año otra red zombi que se utilizaba en ataques DDoS, compuesta por 1.300 cámaras web infectadas.

Fuentes: Threatpost