Hace menos de un mes un ataque de denegación de servicio masivo dejaba caídos varios servicios como Netflix, Amazon o Twitter en diversas regiones del planeta. La gigantesca botnet desde la que se efectuó ese ataque constaba de un gran número de dispositivos IoT, incluyendo cámaras de videovigilancia o puertas de enlace residenciales que estaban infectados con el malware llamado Mirai.
¿Cómo actúa ese malware? Es lo que ha averiguado un experto en seguridad que tras comprar una cámara de seguridad y conectarla a una Raspberry Pi para evitar que interfiriese con el tráfico de su domicilio, se quedó perplejo: a los 98 segundos de ponerla en marcha un malware similar a Mirai logró acceder a la cámara e infectarla.
Un proceso implacable
El análisis de todo el proceso fue plasmándose en su cuenta de Twitter, donde @ErrataRob indicaba cómo configuró la Raspberry Pi conectada a la cámara para que ésta actuase de router con su correspondiente cortafuegos. Eso no fue suficiente, por lo visto.
Este usuario se dedicó a analizar el tráfico de red que se transfería desde y hacia la cámara a través de la herramienta Wireshark, y con esa información logró detectar cómo tras capturar el dispositivo la botnet recolectaba información como el procesador de la videocámara, además de buscar ejecutables como wget o tftp para poder descargar e instalar en la memoria de la cámara ficheros binarios que poder ejecutar remotamente.
Al no encontrar esos programas se descargaba el virus de forma alternativa (con instrucciones 'echo'), a partir de lo cual se iniciaba el proceso "oficial" del malware que tomaba control de la cámara. Todo escondido bajo sesiones shell (terminal Linux) que solo aparecían en el gestor de tareas sin más datos adicionales.
Todo en 98 segundos desde la esa infección por Mirai. A partir de ese momento el software comienza a enviar paquetes SYN que se encargan de "buscar nuevas víctimas" para ir propagando ese malware y hacer que ese ejército de dispositivos zombies sea más y más cuantioso. La cámara sigue funcionando normalmente para el usuario, pero en realidad está controlada (o puede estarlo en cualquier momento) por el atacante, que la podría usar para ataques de denegación de servicio como el que tuvo lugar hace apenas un mes.
Vía | Twitter