Conozca dark_nexus, posiblemente la botnet de IoT más potente de la historia

Conozca dark_nexus, posiblemente la botnet de IoT más potente de la historia

Aurich Lawson

Una red de bots recientemente descubierta que se alimenta de enrutadores domésticos, grabadores de video y otros dispositivos conectados a la red es una de las plataformas de Internet de las cosas más avanzadas jamás vistas, dijeron el miércoles investigadores. Su lista de características avanzadas incluye la capacidad de disfrazar el tráfico malicioso como benigno, mantener la persistencia e infectar dispositivos que se ejecutan en al menos 12 CPU diferentes.

Los investigadores del proveedor de antivirus Bitdefender describieron el llamado dark_nexus como una “nueva botnet de IoT que incluye nuevas características y capacidades que avergüenzan a la mayoría de las botnets y malware de IoT que hemos visto”. En los tres meses que Bitdefender lo ha rastreado, dark_nexus se ha sometido a 30 actualizaciones de versión, ya que su desarrollador ha agregado constantemente más funciones y capacidades.

Significativamente más potente

El malware ha infectado al menos a 1.372 dispositivos, que incluyen grabadoras de video, cámaras térmicas y enrutadores domésticos y de pequeñas oficinas fabricados por Dasan, Zhone, Dlink y ASUS. Los investigadores esperan que más modelos de dispositivos se vean afectados a medida que continúa el desarrollo de dark_nexus.

Refiriéndose a otras botnets de IoT, los investigadores escribió en un informe: “Nuestro análisis ha determinado que, aunque dark_nexus reutiliza algunos códigos Qbot y Mirai, sus módulos principales son en su mayoría originales. Si bien podría compartir algunas características con botnets IoT previamente conocidas, la forma en que se han desarrollado algunos de sus módulos lo hace significativamente más potente y robusto ”.

La botnet se ha propagado al adivinar contraseñas comunes de administrador y explotar vulnerabilidades de seguridad. Otra característica que aumenta la cantidad de dispositivos infectados es su capacidad para apuntar a sistemas que se ejecutan en una amplia gama de CPU, que incluyen:

  • brazo: ELF ejecutable LSB de 32 bits, ARM, versión 1 (ARM), estáticamente vinculado, despojado
  • arm5: ELF ejecutable LSB de 32 bits, ARM, versión 1 (ARM), enlazado estáticamente, despojado
  • arm6: ELF ejecutable LSB de 32 bits, ARM, EABI4 versión 1 (GNU / Linux), enlazado estáticamente, despojado
  • arm7: ELF ejecutable LSB de 32 bits, ARM, EABI4 versión 1 (GNU / Linux), enlazado estáticamente, despojado
  • mpsl: ELF ejecutable LSB de 32 bits, MIPS, MIPS-I versión 1 (SYSV), enlazado estáticamente, despojado
  • mips: ELF ejecutable MSB de 32 bits, MIPS, MIPS-I versión 1 (SYSV), enlazado estáticamente, despojado
  • i586: ELF ejecutable LSB de 32 bits, Intel 80386, versión 1 (GNU / Linux), enlazado estáticamente, despojado
  • x86: ELF ejecutable LSB de 64 bits, x86-64, versión 1 (SYSV), estáticamente vinculado, despojado
  • spc: ELF ejecutable MSB de 32 bits, SPARC, versión 1 (SYSV), estáticamente vinculado, despojado
  • m68k: ELF ejecutable MSB de 32 bits, Motorola m68k, 68020, versión 1 (SYSV), estáticamente vinculado, despojado
  • ppc: ELF ejecutable MSB de 32 bits, PowerPC o cisco 4500, versión 1 (GNU / Linux), enlazado estáticamente, despojado
  • arco:?
  • sh4: ELF ejecutable LSB de 32 bits, Renesas SH, versión 1 (SYSV), enlazado estáticamente, despojado
  • rce:?

El informe de Bitdefender dice que si bien los módulos de propagación dark_nexus contienen código dirigido a las arquitecturas ARC y Motorola RCE, los investigadores hasta ahora no han podido encontrar muestras de malware compiladas para estas arquitecturas.

El propósito principal de dark_nexus es realizar ataques distribuidos de denegación de servicio que desconectan los sitios web y otros servicios en línea inundándolos con más tráfico basura del que pueden manejar. Para que estos ataques sean más efectivos, el malware tiene un mecanismo que hace que el tráfico malicioso parezca datos benignos enviados por los navegadores web.

Otra característica avanzada en dark_nexus le da al malware “supremacía” sobre cualquier otra mercancía maliciosa que pueda instalarse en dispositivos comprometidos. El mecanismo de supremacía utiliza un sistema de puntuación para evaluar la confiabilidad de varios procesos que se ejecutan en un dispositivo. Los procesos que se sabe que son benignos se incluyen automáticamente en la lista blanca.

Los procesos no reconocidos reciben puntajes para ciertos tipos de rasgos. Por ejemplo, un proceso que se eliminó durante la ejecución, un comportamiento que es común con el código malicioso, recibe una puntuación de 90. Ejecutables en directorios como “/ tmp /”, “/ var /,” o “/ dev /” – otro signo revelador de malware: recibe una puntuación de 90. Otros rasgos reciben de 10 a 90 puntos. Cualquier proceso que recibe 100 puntos o más se elimina automáticamente.

Dark_nexus también puede eliminar los procesos de reinicio, una función que mantiene el malware funcionando durante más tiempo en un dispositivo, ya que la mayoría de los malware de IoT no pueden sobrevivir a un reinicio. Para hacer que las infecciones sean más sigilosas, los desarrolladores usan dispositivos ya comprometidos para entregar exploits y cargas útiles.

¿Quién es helios griego?

Las primeras versiones de dark_nexus contienen la cadena “@ greek.helios” cuando imprimen su banner. Esa cadena también apareció en la versión 2018 de “hoho”, una variante del malware Marai. Tanto hoho como dark_nexus contienen código Mirai y Qbot. Los investigadores de Bitdefender pronto descubrieron que “helios griego” es el nombre utilizado por una persona en línea que vende malware de botnet IoT y servicios DDoS. Este canal de Youtube alojado por un usuario llamado helios griego presenta varios videos que promueven el malware y los servicios ofrecidos.

Un video, según el informe del miércoles, muestra el escritorio de una computadora con un acceso directo a una dirección IP que ya en diciembre pasado apareció en los registros de honeypot de Bitdefender como un servidor de comando y control dark_nexus. Estas y varias otras pistas llevaron a los investigadores a sospechar que este individuo está detrás de dark_nexus.

Conozca dark_nexus, posiblemente la botnet de IoT más potente de la historia

Bitdefender

Como muestra el mapa anterior, las infecciones por dark_nexus son más comunes en China, con 653 nodos detectados como comprometidos. Los siguientes cuatro países más afectados son la República de Corea con 261, Tailandia con 172, Brasil con 151 y Rusia con 148. Se detectan 68 infecciones en los Estados Unidos.

Con la capacidad de infectar una amplia gama de dispositivos y un desarrollador motivado con un ambicioso calendario de actualizaciones, no sería sorprendente ver crecer esta botnet en los próximos meses.

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí