Hajime, el gusano para el Internet de las cosas, supera a su predecesor

Los investigadores Sam Edwards y Ioannis Profetis de la compañía Rapidity Networks descubrieron una nueva variante del gusano Hajime, que ataca al Internet de las cosas. El propósito inicial de los expertos querían diseccionar el malware Mirai, un malware similar cuyo código fuente fue hecho público por su desarrollador. Esperando un aumento súbito de la actividad de los bots después de la publicación del código, los investigadores decidieron poner servidores que funcionasen como carnada en todo el mundo.

Unos días más tarde, Edwards y Profetis registraron actividades que inicialmente relacionaron con Mirai, pero que en realidad estaba provocad por un nuevo malware, más sofisticado, que tiene algunas peculiaridades del comportamiento de Hajime. El programa malicioso utilizaba un mecanismo de tres etapas para realizar la infección y era capaz de autopropagarse.

Una vez dentro del sistema infectado, Hajime comienza a escanear direcciones IP aleatorias en la zona IPv4. A continuación, el gusano ataca el puerto 23 e intenta conectarse con el sistema en el otro extremo, usando un conjunto de credenciales preprogramadas en el código. Si el puerto 23 está cerrado, el malware desiste de realizar el ataque de fuerza bruta y pasa a la siguiente dirección IP.

Pero si el ataque de fuerza bruta tiene éxito, Hajime envía al sistema atacado cuatro comandos para comprobar la presencia del sistema operativo Linux. Las plataformas ARMv5, ARMv7, x86-64 de Intel, MIPS y little-indian son susceptibles a estos ataques.

En la siguiente etapa, el gusano descarga un binario ELF de 484 bytes y lo ejecuta para establecer una conexión con el servidor atacante, y escribir los datos en un nuevo binario que se ejecuta tan pronto como la transferencia de datos concluya. El binario se conecta mediante el protocolo DHT a la botnet P2P, de la que recibe a través torrent una carga útil en forma de otros binarios y módulos.

Así pues, Hajime es un malware mucho más sofisticado que Mirai y además utiliza algunos trucos típicos de otro malware para el Internet de las cosas. Por ejemplo, Rex establece una conexión DHT con la botnet P2P. Las combinaciones de “inicio de sesión – contraseña” predeterminadas para lanzar ataques de fuerza bruta contra direcciones IP aleatorias son una de las peculiaridades de Mirai. El mecanismo de infección en varias etapas es similar al utilizado en NyaDrop.

Las diferencias son que Hajime está escrito en el lenguaje C, y no en Go como Rex; utiliza conexiones P2P en lugar de conexiones directas con servidores de administración (Mirai) y afecta a una gama más amplia de plataformas (no solo a MIPS como NyaDrop). Por lo tanto, Hajime combina los métodos más eficaces, tomados prestados de otros tipos de malware para el Internet de las cosas.

Hajime se centra en las cámaras IP, equipos DVR y sistemas de circuito cerrado de televisión, en particular en los sistema Dahua, ZTE y otros fabricantes a los que XiongMai Tecnologies suministra sistemas DVR de referencia. Para estar prevenido contra los ataques de Hajime, hay que para bloquear todos los paquetes UDP con mensajes sobre el intercambio de claves con Hajime, el puerto TCP 4636 y todo el tráfico Telnet con el comando /bin/busybox ECCHI. Los investigadores no cuentan con datos exactos sobre quién está detrás del desarrollo de este malware. Después de analizar el registro de sus períodos de actividad, los expertos de Rapidity suponen que la zona horaria coincide con la de Europa.

Fuentes: Threatpost