Un enrutador Dasan Networks similar a este está bajo explotación activa por la potente botnet Satori.Dasan Networks
Una botnet de rápido movimiento que convierte en enrutadores, cámaras y otros tipos de dispositivos conectados a Internet en potentes herramientas para robo y la destrucción ha resurgido nuevamente, esta vez al explotar un vulnerabilidad crítica que les da a los atacantes control sobre tantos como 40,000 enrutadores. A pesar de las altas apuestas, no hay indicios de que el error se solucionará en el corto plazo, si es que lo hace.
Satori, como se ha denominado la botnet, rápidamente se hizo un nombre para en diciembre, cuando infectó más de 100,000 enrutadores en solo 12 horas explotando vulnerabilidades críticas en dos modelos, uno hecho por Huawei y el otro por RealTek. El mes pasado, Satori los operadores lanzaron una nueva versión que los dispositivos infectados usaban para extraer monedas digitales, una hazaña que permitió a los atacantes explotar tanto como Ethereum por un valor de $ 3,000, basado en los precios de la moneda digital al mando en el momento.
En los últimos días, Satori ha comenzado a infectar enrutadores fabricado por Dasan Networks de Corea del Sur. El número de diario los enrutadores infectados son aproximadamente 13,700, con aproximadamente el 82 por ciento de ellos ubicado en Vietnam, dijo un investigador de Netlab 360 con sede en China Ars. Consultas en el índice de búsqueda de Shodan de Internet conectado los dispositivos muestran que hay un total de más de 40,000 enrutadores hechos por Dasan La compañía aún no ha respondido a un aviso publicado en Diciembre que documentó la vulnerabilidad de ejecución de código Satori es explotando, haciendo posible que la mayoría o todos los dispositivos eventualmente se convertirá en parte de la botnet.
“Tratamos de contactar a Dasan desde el 8 de octubre de 2017”, los investigadores del servicio de divulgación de vulnerabilidades SecuriTeam escribió en el 6 de diciembre de asesoramiento. “Fueron repetidos intentos de establecer contacto sin respuesta. En este momento, no hay solución o solución alternativa para esta vulnerabilidad “. En un correo electrónico enviado el miércoles, Noam Rathaus, CTO de la empresa matriz de SecuriTeam, Beyond Security, escribió:
Intentamos contactar a Dasan varias veces desde octubre. Por “varias veces” quiero decir probablemente más de 10 correos electrónicos, varios teléfonos llamadas y solicitudes tanto a su soporte como a sus ventas departamentos.
Como sabíamos que puede haber un lenguaje posible barrera, llegamos a tener el jefe de nuestra oficina coreana enviarles la explicación completa en coreano con una invitación a comunicarse directamente con nosotros para coordinar la divulgación; nuestra La oficina coreana intentó contactarlos por correo electrónico y por teléfono. pero, excepto por una breve confirmación de que han recibido nuestro comunicación, nunca recibimos ninguna actualización.
Los intentos de Ars de contactar a los representantes de Dasan no fueron Inmediatamente exitoso.
Suministro casi infinito de vulnerabilidades
Satori está basado en Mirai, el Internet de las Cosas de código abierto malware que alimentaba una serie de botnets que entregaban ataques de denegación de servicio distribuidos récord en 2016 y debilitó partes centrales de Internet durante días. A diferencia de miles de otras variantes de Mirai, Satori presentó una mejora clave. Mientras Mirai y sus imitadores solo podían infectar dispositivos que estaban asegurados Con contraseñas predeterminadas fáciles de adivinar, Satori explotó el firmware errores, que a menudo no se reparan, ya sea por el fabricante negligencia o la dificultad a la que se enfrentan los propietarios de dispositivos para reparar sus dispositivos.
“El desarrollador de Satori está actualizando activamente el malware”, Netlab El investigador de 360 Li Fengpei escribió en un correo electrónico. “En el futuro, si Satori ocupa más titulares, no nos sorprenderá “.
Como la mayoría del malware IoT, las infecciones por Satori no sobreviven a un dispositivo reiniciar. Eso significa las infecciones de diciembre de Huawei y Los dispositivos RealTek, que Netlab 360 estima sumaron 260,000, son En gran parte desaparecido. La botnet, sin embargo, ha logrado persistir gracias a Un suministro casi infinito de vulnerabilidades en otros dispositivos IoT. Además de los métodos de infección ya mencionados, Satori también logró extenderse explotando defectos en versiones personalizadas de la Servidor web GoAhead que está integrado en cámaras inalámbricas y otras tipos de dispositivos IoT, investigadores de la firma de seguridad Fortinet informó hace dos semanas. Un portavoz de GoAhead le dijo a Ars: “La falla no está realmente en la implementación del servidor web, sino en aplicación web que lo usa, es decir, solo porque un dispositivo tiene GoAhead no significa que sea vulnerable “.
Pascal Geenens, investigador de la firma de seguridad Radware que informó la nueva variante Satori el lunes, le dijo a Ars que no completamente claro cuál es el propósito de la botnet. Últimos meses variante, mencionada anteriormente, que infectó al minero Claymore El software para generar criptomonedas puede proporcionar una pista clave. los La variante, dijo Geenens, es una fuerte indicación de que los operadores Satori desea robar monedas digitales o recursos informáticos utilizados para generar ellos. Dijo que las variantes Claymore y Dasan se basan en lo mismo infraestructura de comando y control y que la palabra Satori es incluido en los archivos binarios de ambas versiones.
Piotr Bazydło, investigador del NASK Research and Academic Computer Network, le dijo a Ars que él cree que la nueva variante puede han infectado hasta 30,000 enrutadores hasta ahora y ese Satori los desarrolladores probablemente tengan planes para nuevos ataques en el futuro cercano futuro.
“Supongo que están tratando de seguir la tendencia y proporcionar un botnet para minería / robo de criptomonedas “, escribió en un correo electrónico. “La gente debe saber que puede haber más variantes de Satori en el futuro, [y] por lo tanto, otros dispositivos IoT pueden ser el objetivo “.
Esta publicación se actualizó el 15/02/2018 para agregar comentarios de Adelante.
