LizardStresser: dispositivos IoT utilizados para DDoS masivos

Grupos de delincuentes están utilizando la botnet de LizardStresser para explotar vulnerabilidades en dispositivos IoT para montar ataques DDoS masivos sin necesidad de utilizar técnicas de amplificación. La botnet de LizardStresser ha puesto en marcha una denegación distribuida de servicio (DDoS) masiva contra bancos, agencias gubernamentales y empresas de telecomunicaciones en Brasil y tres grandes empresas de juegos de Estados Unidos.

Apuntando a dispositivos de Internet de las Cosas (IoT) que utilizan contraseñas por defecto, la botnet ha crecido lo suficiente como para poner en marcha un ataque de hasta 400 gigabits por segundo (Gbps), sin ningún tipo de amplificación. Los atacantes simplemente utilizan el acumulado disponible de ancho de banda de los dispositivos de IoT que han infectado con el malware LizardStresser.

El malware fue creado por Lizard Squad DDoS group, que publicó su código fuente a principios del 2015, permitiendo a otros "aspirantes" a construir sus propias redes de bots. Su actividad ha aumentado en 2016, con dispositivos IoT no tradicionales.

Los investigadores en Arbor Networks creen que LizardStresser se dirige a dispositivos de IoT por cuatro razones:

• Los dispositivos IoT normalmente ejecutan una versión "embedded" de Linux, lo que significa que el malware puede ser compilado fácilmente para arquitecturas ARM/MIPS/x86.
•  Los dispositivos IoT probablemente tienen acceso total a Internet sin limitaciones de ancho de banda o filtrado.
• El sistema operativo reducido y con baja potencia de procesamiento en dispositivos IoT permite instalar menos características de seguridad.
• Finalmente, para ahorrar tiempo de ingeniería, los fabricantes a veces reutilizan partes de hardware y software en diversas clases de dispositivo y comparte configuraciones y contraseñas por defecto

LizardStresser es una botnet de DDoS escrita en el lenguaje de programación C con un cliente diseñado para funcionar en dispositivos de Linux comprometidos que se conectan a un centro de comando (C & C). El protocolo es esencialmente una versión ligera del protocolo IRC.

Los clientes infectados se conectan al servidor y reciben comandos para lanzar los ataques DDoS usando una variedad de métodos de ataque, escribió en un blog. Los clientes pueden ejecutar comandos arbitrarios que sirven para descargas versiones actualizadas de LizardStresser u otro malware totalmente diferente.

Arbor ha estado realizando un seguimiento de los C&C de LizardStresser y creen que "los servidores son operados por el mismo grupo de personas y aunque parecen hablar inglés entre ellos, sus principales objetivos han mostrado interés en Brasil".

Un ataque vinculado a más de 25.000 cámaras y 1.000 direcciones IP de origen alcanzó su punto máximo de 400Gbps. Los investigadores dijeron que el ataque es interesante porque los paquetes del ataque no parecen estar falseados, lo que significa que el tráfico es originado desde IP origen, sin amplificación y basándose en el protocolo UDP, NTP y SNMP.

Casi el 90% de los hosts probados respondieran con un banner HTML "NETSurveillance WEB", que parece ser el código genérico utilizado por una variedad de cámaras Web accesibles desde Internet. La contraseña predeterminada para el usuario "admin" está disponible en línea, y telnet está habilitado de forma predeterminada.

Fuente: Computer Weekly