Desde hace un año, un malware auto-replicante hasta ahora desconocido ha estado comprometiendo dispositivos Linux en todo el mundo, instalando un malware de criptominería que toma medidas inusuales para ocultar su funcionamiento interno, según revelaron los investigadores.
Este gusano es una versión personalizada de Mirai, el malware de botnet que infecta servidores basados en Linux, routers, cámaras web y otros dispositivos del llamado "Internet de las cosas". Mirai saltó a la fama en 2016 cuando se utilizó para realizar ataques distribuidos de denegación de servicio (DDoS) que paralizaron partes clave de Internet. A lo largo del tiempo, el código fuente subyacente fue liberado, permitiendo que grupos delictivos de todo el mundo incorporaran Mirai en sus propias campañas de ataque.
Un gusano común con un cambio
Tradicionalmente, Mirai y sus muchas variantes se propagan cuando un dispositivo infectado escanea Internet en busca de otros dispositivos que acepten conexiones Telnet. Los dispositivos infectados intentan luego descifrar la contraseña Telnet adivinando pares de credenciales predeterminadas y comúnmente utilizadas. Cuando tienen éxito, los dispositivos recién infectados apuntan a otros dispositivos utilizando la misma técnica. Mirai se ha utilizado principalmente para llevar a cabo DDoS. Dada la gran cantidad de ancho de banda disponible para muchos de estos dispositivos, las inundaciones de tráfico no deseado suelen ser enormes, otorgando al botnet en su conjunto un poder tremendo.
Sin embargo, investigadores de la firma de seguridad de red Akamai revelaron que un gusano hasta ahora desconocido, al que llamaron NoaBot, ha estado atacando dispositivos Linux desde al menos enero del año pasado. A diferencia de Mirai, NoaBot se dirige a contraseñas débiles en conexiones SSH en lugar de Telnet. Además, en lugar de realizar DDoS, el nuevo botnet instala software de minería de criptomonedas, permitiendo a los atacantes generar monedas digitales utilizando los recursos informáticos, la electricidad y el ancho de banda de las víctimas.
Características notables del ataque
Akamai ha estado monitoreando NoaBot durante los últimos 12 meses en un honeypot que imita dispositivos Linux reales para rastrear varios ataques circulando en la red. Hasta la fecha, los ataques han provenido de 849 direcciones IP distintas, las cuales probablemente estén alojando un dispositivo que ya está infectado.
El gusano presenta varias diferencias significativas en comparación con Mirai:
- NoaBot se compila usando la biblioteca de código conocida como UClibc, en lugar de la biblioteca GCC utilizada por Mirai. Esta variación cambia la forma en que las protecciones antivirus detectan NoaBot.
- El malware está compilado estáticamente y despojado de cualquier símbolo, dificultando la ingeniería inversa.
- Las cadenas de texto en el código están obstruidas en lugar de guardarse en texto plano, haciendo que sea más difícil para los ingenieros inversos extraer detalles del binario.
- El binario NoaBot se ejecuta desde una carpeta generada aleatoriamente en el directorio /lib, complicando la búsqueda de infecciones.
- El diccionario estándar de Mirai que almacena la lista de contraseñas comúnmente utilizadas se ha reemplazado por uno tan grande que resulta impráctico de probar en su totalidad.
A pesar de la seguridad operativa de los creadores de NoaBot, también son notables por los nombres de cadenas juveniles y otras adiciones gratuitas en algunas versiones de su código. En un caso, agregaron la letra de la canción "Who's Ready for Tomorrow" de Rat Boy e IBDY.
Las 849 IP de origen están distribuidas de manera relativamente uniforme en todo el mundo, un patrón común en los gusanos, que permiten que cada nueva víctima se convierta en un nuevo atacante. Sin embargo, queda por entender por qué hay un hotspot de IPs de origen ubicado en China que generan aproximadamente el 10 por ciento de los ataques. También es incierto cuántas IPs adicionales que alojan los dispositivos que apuntan a la trampa de Akamai pueden existir, y si algunos de los dispositivos son operados por los atacantes en un intento de alimentar su botnet.
Contramedidas
A pesar de que NoaBot parece ser una campaña no muy sofisticada superficialmente, con el tiempo ha demostrado tener capacidades más avanzadas de lo que podría parecer a simple vista. Su capacidad para instalar la variante de XMRig de manera sigilosa, evitando la detección al almacenar configuraciones cifradas u ofuscadas, representa un desafío considerable para los investigadores de seguridad. Akamai ha publicado una amplia biblioteca de indicadores que las personas pueden usar para detectar signos de NoaBot en sus dispositivos, lo que incluye una instancia preconfigurada de la aplicación Infection Monkey de Akamai para probar redes en busca de signos de compromiso. Además, proporcionaron un archivo CSV que almacena todos los indicadores de compromiso y reglas YARA para detectar infecciones de XMRig.
El ataque de NoaBot a dispositivos Linux es un recordatorio de la constante evolución y adaptación de las
amenazas cibernéticas. Aunque en apariencia podría ser "solo" una
variante de Mirai y un criptominero XMRig, las ofuscaciones añadidas al malware
y las mejoras al código fuente original revelan un panorama más amplio de las
capacidades de los actores de amenazas.