Recientes descubrimientos de la empresa BitDefender encontraron una nueva botnet llamada Dark Nexus. Está botnet está conformada por dispositivos IoT y tiene unas particulares características y es muy superior a cualquier red de bots conocida al día de hoy, a continuación algunas de las características:
- Logra soportar hasta 12 diferentes tipos de arquitecturas de CPUs
- Implementa SOCKS5 permitiendo la tunelización del tráfico malicioso
- Desarrolla ataques DDoS personalizables
Dark Nexus utiliza parte del código de Mirai y Qbot, pero la botnet presenta cambios que logran que sea mucho más peligrosa que sus predecesoras.
La botnet cuenta con aproximadamente 1.400 dispositivos infectados desde que se descubrió abarcando países como China, Tailandia,Corea del Sur, Rusia o Brasil.
La infraestructura está basada en servidores de control, estos envían comandos a los dispositivos ya infectados y los servidores de recepción son los que reciben informes de las acciones tomadas de los dispositivos infectados.
Al momento en que la botnet descubre un dispositivo vulnerable, este se registra en un servidor de control, después se indica cuál es su arquitectura y finalmente incluir los scripts adecuados para su ejecución.
Después de activarse el dispositivo “zombie”, Dark Nexus abre un puerto estático, comúnmente el 7630, para de esta manera asegurar una única ejecución del programa. Para ocultarse en el sistema, este modifica su nombre de proceso por el de busybox, proceso que está presente en la mayoría de dispositivos IoT y routers, además deshabilita los comandos de apagado y reinicio, así como detener el servicio cron para evitar la programación de tareas.
Su propagación se realiza a través de fuerza bruta, está dirigido el ataque exclusivamente al protocolo Telnet a través de un diccionario de contraseñas que no excede de 50 credenciales, muchas de estas contraseñas son las que vienen por defecto en la mayoría de dispositivos como: | root/root | default/default | admin/12345 |.
Con las pruebas obtenidas por BitDefender y comparando el código de esta botnet con el de otras, parece indicar que el autor de Dark Nexus podría ser el griego Helios A.K.A greek.helios, un desarrollador que vende servicios DDoS a través de redes sociales.
La manera de contrarrestar el ataque de esta botnet es bastante sencillo. Ya que sus ataques se basan en fuerza bruta que aprovechan credenciales de fábrica, el mejor consejo para evitar sus ataques es cambiar las credenciales de acceso de los dispositivos antes de ponerlos a funcionar.