La botnet OMG convierte dispositivos IoT en servidores proxy
- Vulnerabilidades
Esta nueva variante de Mirai puede usar las mismas técnicas que la botnet original, pero además incluye la capacidad de usar los dispositivos IoT infectados como servidores proxy. Una forma de ganar dinero con servidores proxy es vender el acceso a estos servidores a otros ciberdelincuentes.
|
También puedes leer... |
La liberación del código fuente de la botnet Mirai ha dado a luz todo tipo de variantes, con su propio arsenal de funcionalidades específicas. Ya vimos una bautizada como Mirai Okiru, cuyo objetivo son los procesadores con arquitectura ARC, y la botnet Satori, que fue capaz de infectar cientos de miles de dispositivos IoT en cuestión de horas. Ahora llega OMG, una nueva variante que puede usar las mismas técnicas que la botnet original, pero además incluye la capacidad de usar los dispositivos IoT infectados como servidores proxy.
Una vez infectado el dispositivo, OMG comunica la infección al servidor de comando y control (C&C), que le responde con un valor que especifica su finalidad. El valor 0 le indica al bot que va a ser usado como servidor proxy. Para ello selecciona dos puertos al azar ('http_proxy_port' y 'socks_proxy_port'), que son comunicados al servidor C&C, y configura una regla de firewall para permitir el tráfico a través de ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el software de código abierto 3proxy.
Investigadores de FortiGuard Labs señalan que la posible motivación de esta funcionalidad es ganar dinero convirtiendo dispositivos IoT en servidores proxy. “Los ciberdelincuentes usan proxies para añadir anonimato al realizar diversos trabajos sucios, como ciberrobo, hackeo de un sistema, etc. Una forma de ganar dinero con servidores proxy es vender el acceso a estos servidores a otros ciberdelincuentes. Creemos que está es la motivación detrás de este último bot basado en Mirai”, señalan.
Esta es la primera vez que hemos visto un Mirai modificado capaz de lanzar ataques DDOS, así como de configurar servidores proxy a partir dispositivos de IoT vulnerables. Con este desarrollo, se espera que aparecerán más botnets basadas en Mirai con nuevas formas de monetización.
