Security experts are warning about the emergence of a new IoT botnet that is much stealthier, persistent and more advanced than Mirai and designed to attack a wide range of device architectures.
El investigador @VessOnSecurity primero twitteó sobre su descubrimiento la semana pasada después de detectar la amenaza a través de un honeypot (es una herramienta de seguridad informática que actúa a modo de señuelo dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante). A pesar de que se propaga a través de Telnet y apunta a credenciales débiles en los dispositivos, “no es la variante de Mirai ordinaria o minero de Monero”, advirtió.
“No hace, todavía, lo que habitualmente hace un botnet como DDOS, atacando todos los dispositivos conectados a internet o, Of course, extrayendo criptomonedas”, explicó Avast en un análisis de seguimiento.
“Instead, viene con un conjunto bastante rico de características para la extracción de información, una arquitectura modular capaz de buscar y ejecutar otros comandos y ejecutables y todo a través de múltiples capas de comunicación cifrada”.
Llamada “Torii” por la empresa, la amenaza primero descubre la arquitectura del dispositivo objetivo y descarga una utilidad adecuada, con MIPS, ARM, x86, x64, PowerPC, SuperH y más compatibles. This utility is discarded for the second stage. Meanwhile, Torii uses at least six methods to ensure that the file remains on the device and always runs.
“The second-stage utility is a fully developed bot capable of executing commands from its master (CnC)”, Avast said. “It also contains other features such as simple debugging removal techniques, data extraction, multi-level communication encryption, etc.”
Sean Newman, director of Corero Network Security, said Torii is “taking advantage of the rapidly expanding global IoT device group”.
“Its secret could be the large number of different platforms the code can support, lo que le da la diversidad necesaria para encontrar suficientes dispositivos que aún utilicen simples pares de nombre de usuario y contraseña”, he added. “Hasta que los fabricantes de IoT resuelvan el problema de que sus dispositivos tienen las mismas credenciales de administrador predeterminadas, para los delincuentes cibernéticos seguirá siendo un juego de niños aprovecharlos con fines nefastos”.