17 feb. 2017

Dispositivos IoT infectados causan DDoS en una universidad

Una universidad cuyo nombre se desconoce (se ha ocultado por privacidad en el informe), ha sufrido un ataque DDoS de la mano de sus propios dispositivos IoT, según una previsualización del informe anual de violación de datos anual de Verizon.

Verizon Data Breach Digest es un informe anual que detalla algunos de los más extraños incidentes relacionados con la seguridad que la división Verizon Enterprise ha tratado en el último año.
El ataque DDoS fue causado por un malware que conectó con los dispositivos inteligentes de la universidad, les cambió su contraseña predeterminada y lanzó ataques de fuerza bruta para adivinar las credenciales de administración de los dispositivos cercanos. El informe explica que la red de bots fue de dispositivo a dispositivo atacando por fuerza bruta las contraseñas débiles o usando contraseñas (credenciales por defecto).

Los investigadores dijeron que los dispositivos hackeados iniciarán entonces un nivel anormalmente alto de búsquedas de DNS que inundaron el servidor DNS de la universidad, lo que a su vez provocó que el servidor dejara de atender muchas solicitudes de DNS, incluido el tráfico legítimo de los estudiantes. El equipo de TI de la universidad dijo que muchas de estas peticiones DNS secuestradas estaban relacionadas con dominios relacionados con marisco.

En todo el ataque, la buena noticia fue que la universidad había segmentado su red interna, y colocado todos los dispositivos IoT, como bombillas y máquinas expendedoras, en su subred separada.

Después de una inspección cercana de los registros de servidor y firewall, Verizon identificó cuatro direcciones IP sospechosas y cerca de 100 dominios maliciosos, previamente vinculados a una botnet de IoT. Esto permitió al equipo identificar el malware y vincularlo a una cepa previamente conocida.

Sabiendo con quién estaban lidiando, Verizon encontró una falla en el modo de operación del malware, que era el hecho de que el malware envió la nueva contraseña de administración del dispositivo vía HTTP no cifrado. Además, se utilizó la misma contraseña para todos los dispositivos infectados.

Esta falla permitió al personal de TI de la universidad registrar el tráfico de la red, capturar la nueva contraseña y escribir un script para revertir las acciones del malware.

Después de esto, sólo fue una tarea trivial eliminar la subred IoT de la universidad y lanzar el script para recuperar el control sobre todos los dispositivos IoT usando una contraseña personalizada.

La universidad dijo que más de 5.000 dispositivos inteligentes habían sido tomados durante este incidente. Más información sobre la respuesta y la mitigación del evento está disponible a través de una vista previa del informe 2017 de Verizon sobre la brecha de datos.

Fuente: BleepingComputer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!