Zerobot arma numerosas fallas en una gran cantidad de dispositivos IoT



Una nueva botnet está atacando a las organizaciones a través de varias vulnerabilidades en los dispositivos de Web de las cosas (IoT) de D-Connection, Huawei, RealTek, TOTOLink, Zyxel y más, lo que representa una amenaza crítica que permite a los atacantes hacerse cargo de los sistemas vulnerables, según han descubierto los investigadores.

La botnet, denominada Zerobot y escrita en el lenguaje de programación Go, incluye módulos capaces de autorreplicarse y autopropagarse, así como ataques para diferentes protocolos, compartió un investigador de Fortinet en una entrada de weblog publicado el 6 de diciembre.

«Zerobot apunta a varias vulnerabilidades para obtener acceso a un dispositivo y luego descarga un script para una mayor propagación», escribió en la publicación la analista senior de antivirus de Fortinet Labs, Cara Lin.

Hasta ahora, los investigadores han visto dos versiones de la botnet, una que comenzaron a rastrear el 18 de noviembre y una versión más sofisticada que apareció poco después, el 24 de noviembre, que agregó una serie de nuevas capacidades.

La primera versión de Zerobot period bastante básica, pero los atacantes la actualizaron rápidamente para incluir un módulo «selfRepo» que le permite reproducirse e infectar más puntos finales con diferentes protocolos o vulnerabilidades, dijeron los investigadores. La última versión, en la que se basa su análisis, también incluye ofuscación de cadenas y un módulo de copia de archivos.

Modo de ataque

Zerobot inicia un ataque comprobando primero su conexión con 1.1.1.1, el servidor de resolución de DNS de Cloudflare. Luego se copia a sí mismo en el dispositivo de destino según el tipo de sistema operativo de la víctima, con diferentes tácticas según la plataforma, dijeron los investigadores.

Para Windows, Zerobot se copia a sí mismo en la carpeta «Inicio» con el nombre de archivo «FireWall.exe». Si la plataforma de destino es Linux, tiene tres rutas de archivo: «Residence%», «/and so forth/init/» y «/lib/systemd/program/».

Una vez que se copia en el dispositivo de destino, Zerobot configura un módulo «AntiKill» para evitar que los usuarios interrumpan su programa una vez que se inicia. «Este módulo monitorea un valor hexadecimal particular y united states of america ‘signal.Notify’ para interceptar cualquier señal enviada para terminar o eliminar el proceso», escribió Lin.

Después de la inicialización, Zerobot inicia una conexión con su servidor de comando y regulate (C2), ws[:]//176[.]sesenta y cinco[.]137[.]5/mango, utilizando el protocolo WebSocket.

Una vez que configura un canal de comunicación, el cliente espera un comando del servidor para liberar cualquiera de los 21 exploits para varias vulnerabilidades encontradas en productos IoT, así como algunas otras, incluida la vulnerabilidad del marco Java Spring4Shell, phpAdmin y F5 Major. «para aumentar su tasa de éxito», escribió Lin.

Empresas: tomen medidas inmediatas

Fortinet incluyó una lista de las numerosas vulnerabilidades que explota Zerobot, que se encuentran en una variedad de dispositivos, incluidos enrutadores, cámaras web, almacenamiento conectado a la purple, firewalls y otros productos de una gran cantidad de fabricantes conocidos.

Lin aconsejó a cualquier organización que use estos dispositivos que se actualice a las últimas versiones o aplique los parches disponibles de inmediato. De hecho, dado que las empresas pierden hasta $ 250 millones al año en ataques de botnet no deseados, según un informe publicado el año pasado por Netacea, las organizaciones deberían evaluar sus entornos para descubrir cualquier dispositivo que pueda ser vulnerable a Zerobot, señaló.

«Los usuarios deben ser conscientes de esta nueva amenaza, parchear los sistemas afectados… que se ejecutan en su crimson y aplicar parches activamente a medida que estén disponibles», escribió Lin.



Enlace a la noticia first