Los expertos en seguridad están advirtiendo sobre la aparición de una nueva botnet para IoT mucho más sigilosa, persistente y avanzada que Mirai y diseñada para atacar una amplia gama de arquitecturas de dispositivos.
El investigador @VessOnSecurity primero twitteó sobre su descubrimiento la semana pasada después de detectar la amenaza a través de un honeypot (es una herramienta de seguridad informática que actúa a modo de señuelo dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante). A pesar de que se propaga a través de Telnet y apunta a credenciales débiles en los dispositivos, «no es la variante de Mirai ordinaria o minero de Monero», advirtió.
«No hace, todavía, lo que habitualmente hace un botnet como DDOS, atacando todos los dispositivos conectados a internet o, por supuesto, extrayendo criptomonedas», explicó Avast en un análisis de seguimiento.
«En cambio, viene con un conjunto bastante rico de características para la extracción de información, una arquitectura modular capaz de buscar y ejecutar otros comandos y ejecutables y todo a través de múltiples capas de comunicación cifrada».
Llamada «Torii» por la empresa, la amenaza primero descubre la arquitectura del dispositivo objetivo y descarga una utilidad adecuada, con MIPS, ARM, x86, x64, PowerPC, SuperH y más compatibles. Esta utilidad se descarta para la segunda etapa. Mientras tanto, Torii usa al menos seis métodos para asegurarse de que el archivo permanezca en el dispositivo y siempre se ejecute.
«La utilidad de la segunda etapa es un bot completamente desarrollado capaz de ejecutar comandos desde su maestro (CnC)», dijo Avast. «También contiene otras características como técnicas simples de eliminación de errores, extracción de datos, encriptación de comunicación de niveles múltiples, etc.»
Sean Newman, director de Corero Network Security, dijo que Torii está «sacando provecho del grupo mundial de dispositivos IoT en rápida expansión».
«Su secreto podría ser la gran cantidad de plataformas diferentes que el código puede admitir, lo que le da la diversidad necesaria para encontrar suficientes dispositivos que aún utilicen simples pares de nombre de usuario y contraseña», agregó. «Hasta que los fabricantes de IoT resuelvan el problema de que sus dispositivos tienen las mismas credenciales de administrador predeterminadas, para los delincuentes cibernéticos seguirá siendo un juego de niños aprovecharlos con fines nefastos».