Recientemente varios investigadores de la empresa BitDefender han descubierto una nueva botnet llamada Dark Nexus. Esta nueva botnet está formada por dispositivos IoT y presenta una serie de características y capacidades muy superiores a cualquier red de bots conocida hasta la fecha, algunas de ellas son:
- Soporta hasta 12 tipos de arquitecturas de CPUs diferentes
- Implementa SOCKS5 permitiendo la tunelizacion del tráfico malicioso
- Desarrolla ataques DDoS personalizables
Aunque Dark Nexus utiliza parte del código utilizado para crear Mirai y Qbot, esta botnet presenta varios cambios e innovaciones que la hacen ser mucho más peligrosa que sus predecesores. Desde su descubrimiento la botnet cuenta con aproximadamente 1.400 dispositivos infectados abarcando países como China, Corea del Sur, Tailandia, Brasil o Rusia.
Su infraestructura se basa en servidores de control los cuales, envían comandos a los dispositivos ya infectados, y servidores de recepción los cuales, reciben informes de las acciones que están tomando los dispositivos infectado.
Una vez la botnet descubre un dispositivo vulnerable, este es registrado en un servidor de control indicando cuál es su arquitectura para después incluirle los binarios adecuados para su ejecución.
Después de activarse en el dispositivo, Dark Nexus abre un puerto estático, normalmente el 7630, para asegurar una única ejecución del programa. Para mantenerse oculto en el sistema este modifica su nombre de proceso por el de busybox, proceso presente en la mayoría de dispositivos IoT y routers, además deshabilita los comandos de apagado y reinicio, y detiene el servicio cron para evitar programación de tareas.
Su propagación se realiza a través de fuerza bruta, dirigiendo el ataque exclusivamente al protocolo Telnet a través de un diccionario de contraseñas que no sobrepasa las 50 credenciales. Muchas de estas contraseñas son las que traen por defecto la mayoría de dispositivos, root/1234, default/default, admin/4321.
A partir de las pruebas obtenidas por BitDefender y comparando el código de esta botnet con el de otras, todo parece indicar que el autor de Dark Nexus podría ser el griego Helios A.K.A greek.helios, un desarrollador que vende servicios DDoS a través de redes sociales.
La buena noticia de toda esta investigación es que contrarrestar un ataque de esta botnet es bastante sencillo. Debido a que sus ataques se basan únicamente en ataques de fuerza bruta que aprovechan credenciales de fábrica, el mejor consejo para evitar sus ataques es cambiar las credenciales de acceso del dispositivo antes de ponerlo en funcionamiento.
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
