Quién, cómo y qué virus se usó en el ataque DDoS que tumbó WhatsApp, Twitter, Spotify, etc.
Hemos tenido acceso a un interesante informe de Telefónica para sus grandes clientes en el que explican pormenorizadamente el ataque DDoS y el virus que el pasado viernes hizo temblar Internet y, entre otros, tumbó el servicio de WhatsApp, Twitter, Spotify, etc.
Aunque fue un ataque DDoS que afectó a los servidores DNS de la empresa DyDNS, y eso ya lo explicaron los compañeros de ADSLZone este fin de semana, el resultado es que muchos intentaron conectarse a WhatsApp, Twitter, Spotify y muchos otros servicios que ya llevamos y consumimos desde el móvil y no pudieron hacerlo.
Pasada ya la tormenta, hemos podido tener acceso a un interesante informe que está enviando Telefónica a sus grandes clientes en el que explica pormenorizadamente todo lo que se sabe de Mirai, el software que creó la botnet de cosas «Smart», es decir, usó el Internet Of Things para acabar con uno de los DNS de Internet, además de otros detalles muy interesantes sobre el ataque DDoS del pasado viernes.
Mirai, el virus que amenaza el IoT y a todo Internet con más ataques DDoS
Mirai es un malware que escanea Internet para localizar dispositivos conectados de Internet de las Cosas como podrían ser cámaras, neveras, televisores, etc., que suelen tener en muchos casos una contraseña por defecto del fabricante lo que los hace tremendamente vulnerables. Mirai realiza diferentes ataques de fuerza bruta para romper la contraseña e infectar estos dispositivos para unirlos a su botnet, una red de dispositivos zombies esperando la activación para el ataque.
Podríamos decir, «bueno, pues cambiamos la contraseña», pero como nos indica Telefónica, Mirai se aprovecha de que estas passwords están «hardcodeadas en el firmware«, o lo que es lo mismo, vienen fijas por defecto. Una prueba realizada por la operadora con el buscador Shodan localizó más de 500.000 dispositivos vulnerables. De hecho, en GitHub ya se han dado a conocer las contraseñas por defecto que utiliza Mirai.
El pasado 10 de octubre, el creador de Mirai liberó el código de su malware, permitiendo así que programadores de todo el mundo pudieran crear su propia red de botnets con versiones de este software alcanzando, según las estimaciones señaladas por Telefónica, cerca de un millón de dispositivos conectados.
Akamai estima que cerca de 2 millones de dispositivos IoT en total están comprometidos desde que en 2015 apareciera un código que permitía hacer ataques a estos dispositivos y algunos nombres de virus además de Mirai son Lizkebab, BASHLITE, Torius, o gafgyt se van a hacer bastante habituales en el futuro.
La culpa la tienen los IoT chinos, dicen algunos
Parece ser que lo «barato sale caro» se vuelve a cumplir porque se ha señalado, según FlashPoint, al fabricante chino XiongMai Technology, que es proveedor de componentes para muchas empresas con cámaras IP y sistemas similares, como causante de la existencia de un número muy elevado de dispositivos vulnerables. Según comenta Telefónica, el 29% de os IoT infectados actualmente están en EE.UU., seguidos de un 23% en Brasil y un 8% en Colombia, dejando el resto de porcentaje en otros países del mundo.
¿Quién ha reclamado el ataque DDoS del pasado viernes?
De momento hay varios grupos que se han otorgado la autoría del ataque DDoS del pasado viernes. Están los New World Hackers, distribuidos en China y Rusia que lo reclamaban a través de un mensaje en twitter y en una entrevista, donde aseguran que tienen lista una red de bots de 100.000 equipos infectados.
Como no, los habituales Anonymous también salieron al paso y dijeron que el ataque se había producido por el corte de Internet a Julian Assange en Ecuador mientras el fundador de Wikileaks estaba filtrando documentos que afectarían a la campaña electoral en EE.UU.
De momento, el Gobierno de EE.UU. no ha confirmado estas autorías y el FBI sigue investigando qué ha podido pasar en los servidores de DynDSN que, por su parte, si que ha dado alguna que otra explicación técnica en los últimos días.