Desde hace un año, un malware
auto-replicante hasta ahora desconocido ha estado comprometiendo dispositivos
Linux en todo el mundo, instalando un malware
de criptominería que toma medidas inusuales para ocultar su funcionamiento
interno, según revelaron los investigadores.
Este gusano es una versión personalizada de Mirai, el malware de botnet que infecta servidores
basados en Linux, routers, cámaras web y otros dispositivos del llamado «Internet de las cosas«. Mirai saltó a la fama en 2016 cuando se utilizó para
realizar ataques distribuidos de denegación de servicio (DDoS) que paralizaron
partes clave de Internet. A lo largo del tiempo, el código fuente subyacente
fue liberado, permitiendo que grupos delictivos de todo el mundo incorporaran
Mirai en sus propias campañas de ataque.
Un gusano
común con un cambio
Tradicionalmente, Mirai y sus muchas
variantes se propagan cuando un dispositivo infectado escanea Internet en busca
de otros dispositivos que acepten conexiones Telnet. Los dispositivos
infectados intentan luego descifrar la contraseña Telnet adivinando pares de
credenciales predeterminadas y comúnmente utilizadas. Cuando tienen éxito, los
dispositivos recién infectados apuntan a otros dispositivos utilizando la misma
técnica. Mirai se ha utilizado principalmente para llevar a cabo DDoS.
Dada la gran cantidad de ancho de banda disponible para muchos de estos
dispositivos, las inundaciones de tráfico no deseado suelen ser enormes,
otorgando al botnet en su conjunto un poder tremendo.
Sin embargo, investigadores de la
firma de seguridad de red Akamai revelaron que un gusano hasta ahora
desconocido, al que llamaron NoaBot, ha estado atacando dispositivos
Linux desde al menos enero del año pasado. A diferencia de Mirai, NoaBot se
dirige a contraseñas débiles en conexiones SSH en lugar de Telnet.
Además, en lugar de realizar DDoS, el nuevo botnet instala software de minería
de criptomonedas, permitiendo a los atacantes generar monedas digitales
utilizando los recursos informáticos, la electricidad y el ancho de banda de
las víctimas.
Características notables del ataque
Akamai ha estado monitoreando NoaBot
durante los últimos 12 meses en un honeypot que imita dispositivos Linux reales
para rastrear varios ataques circulando en la red. Hasta la fecha, los ataques
han provenido de 849 direcciones IP distintas, las cuales probablemente estén
alojando un dispositivo que ya está infectado.
El gusano presenta varias diferencias
significativas en comparación con Mirai:
- NoaBot se compila usando la
biblioteca de código conocida como UClibc, en lugar de la biblioteca GCC
utilizada por Mirai. Esta variación cambia la forma en que las protecciones
antivirus detectan NoaBot. - El malware está compilado
estáticamente y despojado de cualquier símbolo, dificultando la ingeniería
inversa. - Las cadenas de texto en el código
están obstruidas en lugar de guardarse en texto plano, haciendo que sea más
difícil para los ingenieros inversos extraer detalles del binario. - El binario NoaBot se ejecuta desde
una carpeta generada aleatoriamente en el directorio /lib, complicando la
búsqueda de infecciones. - El diccionario estándar de Mirai que
almacena la lista de contraseñas comúnmente utilizadas se ha reemplazado
por uno tan grande que resulta impráctico de probar en su totalidad.
A pesar de la seguridad operativa de
los creadores de NoaBot, también son notables por los nombres de cadenas
juveniles y otras adiciones gratuitas en algunas versiones de su código. En un
caso, agregaron la letra de la canción «Who’s Ready for Tomorrow» de
Rat Boy e IBDY.
Las 849 IP de origen están
distribuidas de manera relativamente uniforme en todo el mundo, un patrón común
en los gusanos, que permiten que cada nueva víctima se convierta en un nuevo
atacante. Sin embargo, queda por entender por qué hay un hotspot de IPs
de origen ubicado en China que generan aproximadamente el 10 por ciento de los
ataques. También es incierto cuántas IPs adicionales que alojan los
dispositivos que apuntan a la trampa de Akamai pueden existir, y si algunos de
los dispositivos son operados por los atacantes en un intento de alimentar su
botnet.
Contramedidas
A pesar de que NoaBot parece ser una
campaña no muy sofisticada superficialmente, con el tiempo ha demostrado tener
capacidades más avanzadas de lo que podría parecer a simple vista. Su capacidad
para instalar la variante de XMRig de manera sigilosa, evitando la detección al
almacenar configuraciones cifradas u ofuscadas, representa un desafío
considerable para los investigadores de seguridad. Akamai ha publicado una
amplia biblioteca de indicadores que las personas pueden usar para detectar
signos de NoaBot en sus dispositivos, lo que incluye una instancia
preconfigurada de la aplicación Infection Monkey de Akamai para probar redes en
busca de signos de compromiso. Además, proporcionaron un archivo CSV que
almacena todos los indicadores de compromiso y reglas YARA para detectar
infecciones de XMRig.
El ataque de NoaBot a dispositivos Linux es un recordatorio de la constante evolución y adaptación de las
amenazas cibernéticas. Aunque en apariencia podría ser «solo» una
variante de Mirai y un criptominero XMRig, las ofuscaciones añadidas al malware
y las mejoras al código fuente original revelan un panorama más amplio de las
capacidades de los actores de amenazas.