Durante los meses de septiembre y octubre de 2016, una serie de ciberataques llamaron la atención por su impacto y, sobre todo, por su origen. Los ataques producidos por la botnet Mirai, compuesta principalmente por dispositivos del llamado Internet de las cosas (como cámaras IP o sistemas de grabación de vídeo) causaron importantes problemas a empresas y servicios como OVH, Amazon, Spotify o Netflix, por poner solo unos pocos ejemplos, mediante la realización de ataques de denegación de servicio distribuidos DDoS.
Evolución de la amenaza
Desde el descubrimiento del malware Mirai en agosto de 2016 por el investigador @unixfreaxjp hasta ahora, han pasado muchos meses que han permitido evolucionar a la Botnet Mirai. La publicación del código fuente al poco tiempo de ser descubierta esta amenaza ha permitido a muchos delincuentes contar con una poderosa herramienta que han podido adaptar a sus necesidades, pero también a muchos investigadores estar alerta ante cualquier nueva variante.
Precisamente, el descubridor de la botnet Mirai original ha anunciado hace pocos días que ha observado una variante que tiene como objetivos a los procesadores con arquitectura ARC, usando para infectarlos un malware para Linux presentado en formato ELF y al que ha bautizado como Mirai Okiru.
La peculiaridad de este malware es que se trata del primero que se conoce en la historia que tiene como objetivos a dispositivos basados en arquitectura ARC. Este tipo de procesadores de 32 bits son utilizados ampliamente en dispositivos con un SoC (System on a Chip) utilizados con múltiples finalidades y, especialmente, en el Internet de las cosas (IoT). Se calcula que, anualmente, se producen más de mil millones de dispositivos que incorporan uno de estos procesadores, por lo que son un objetivo muy atractivo para los delincuentes.
Durante las primeras horas tras el anuncio del descubrimiento de esta nueva amenazas surgió el debate acerca de si se trataba de una evolución considerable, o solamente un paso más en botnets derivadas de Mirai como Satori. Sin embargo, los análisis posteriores desvelaron que, si bien ambas amenazas tienen a dispositivos del IoT como objetivos principales y comparten alguna característica similar, también existen importantes diferencias en la forma en la que están programados o eligen los objetivos.
Parte del código de Mirai Okiru descifrado – Fuente: @_odisseus
Vectores de ataque y consecuencias
Tal y como vimos en los incidentes provocados por la botnet Mirai hace un par de años, la utilización de dispositivos infectados por un malware de estas características para realizar ataques DDoS es algo relativamente sencillo para los delincuentes, y puede causar grandes problemas.
Con la posibilidad de infectar a miles de millones de dispositivos que hasta ahora habían permanecido al margen, se aumentan notablemente las posibilidades para los delincuentes y, aunque puede que no lleguen nunca a utilizarse de forma maliciosa, viene bien estar prevenidos ante posibles ataques de estas características.
Para intentar averiguar el alcance real que una amenaza de este tipo puede tener, habría que ver qué vectores de ataque utilizan los delincuentes. En anteriores ataques similares hemos visto cómo los delincuentes se han aprovechado de configuraciones inseguras en los dispositivos, con acceso a puertos abiertos y contraseñas por defecto o muy débiles, algo que permite hacer escaneos por internet buscando objetivos y explotándolos de forma sencilla.
Si esto consigue reproducirse con los dispositivos basados en la arquitectura ARC, podemos estar ante un serio problema debido a lo rápido que podría montarse una botnet con un elevado número de dispositivos controlados por los delincuentes. Además, cuando apareció Mirai, el objetivo principal fue la realización de ataques DDoS, pero ahora puede que los delincuentes prefieran usar estos dispositivos a su disposición para, por ejemplo, minar criptodivisas.
Conclusión
El tiempo nos dirá si el descubrimiento de este nuevo malware tiene un impacto real en la seguridad de estos dispositivos o si quedará como otra anécdota más. Lo cierto es que, independientemente de la arquitectura usada, todos los fabricantes relacionados con el Internet de las cosas deben ponerse las pilas para aplicar la seguridad desde el diseño si no queremos ver cómo su seguridad es vulnerada una y otra vez.
Indicadores de compromiso
Hashes MD5
- 9c677dd17279a43325556ec5662feba0
- 24fc15a4672680d92af7edb2c3b2e957
Reglas Yara
https://github.com/unixfreaxjp/rules/blob/master/malware/MALW_Mirai_Okiru_ELF.yar