Artículo: IoT Worm «Hajime» Uses BitTorrent Protocols for Communications.
Si bien el análisis del malware Mirai, los investigadores descubrieron lo que pretende ser un gusano nuevo y sofisticado diseñado para atacar a Internet de los dispositivos de los objetos (IO).
Traducción Google:
El grupo de investigación de seguridad en Boulder, servicios de Internet basados en la empresa Redes CO Rapidez estableció algunos sistemas trampa con la esperanza de capturar una muestra de Mirai. Sin embargo, sus trampas han captado lo que ellos creen que es un nuevo gusano de la IO que se comporta de manera similar a Mirai .
Desde «Mirai» es la palabra japonesa para «futuro», la compañía ha decidido nombrar a la nueva pieza de malware » Hajime «, que en japonés puede significar «principio».
La primera muestra fue descubierto por Rapidez Redes en el medio natural, el 5 de octubre, pero la fecha y hora de un archivo de configuración sugiere que la amenaza ha existido desde al menos septiembre 26. Además, una de las librerías utilizadas por el malware está fechada antes de 2013 , que los expertos creen que podría indicar que Hajime ha estado en desarrollo durante varios años.
Al igual que en Mirai, Hajime escanea la Internet en busca de dispositivos que ejecutan el servicio de Telnet y los intentos de acceder a ellos utilizando una lista predefinida de usuario y contraseña combinaciones comunes.
A diferencia de Mirai, que se basa en los servidores de comando y control (C & C), Hajime utiliza un peer-to-peer (P2P) de la red descentralizada, para recibir actualizaciones y archivos de configuración. De acuerdo con la rapidez, el gusano utiliza DHT de BitTorrent (Distributed Hash Tables) de protocolo para el descubrimiento de pares y el protocolo de transporte de uTorrent (UTP) para el intercambio de datos.
«Para el intercambio de información, Hajime lleva a cuestas en la red superpuesta de DHT BitTorrent», explican los investigadores. «Para transferir archivos con sus compañeros, Hajime utiliza la aplicación UTP se encuentra en libutp.Hajime descarga archivos en un formato personalizado que a menudo contienen cargas útiles comprimidos con el algoritmo LZ4, y por lo tanto incluye la función de descompresión del proyecto LZ4 «.
Rapidez Redes sólo ha visto un módulo Hajime en la naturaleza, que el gusano utiliza para propagarse de un dispositivo a otro. El propósito de la botnet sigue siendo poco clara, pero los expertos creen que puede ser utilizado para ataques DDoS, como una plataforma de distribución para otras cargas útiles, o para robar datos confidenciales de otras máquinas alojadas por la misma red que el dispositivo infectado por Hajime.
También existe la posibilidad de que Hajime es parte de un proyecto de investigación, similar a la «vigilante malware» llamado Wifatch .
Con base en el número de intentos de ataque Hajime registrados por sus honeypots, Rapidez cree que el malware puede haber infectado en algún lugar entre 130.000 y 185.000 dispositivos IO.
Si bien existen algunas similitudes entre Hajime y Mirai, no hay evidencia de que los dos están conectados. Los investigadores especulan que el nuevo gusano podría estar tratando de pasar como Mirai con la esperanza de no llamar demasiado la atención sobre sí mismo.
No está claro que desarrolló Hajime, pero basado en su análisis, Rapidez ha llegado a la conclusión de que el autor es un individuo o grupo familiarizado con el lenguaje de programación C, el lenguaje ensamblador ARM / MIPS, la criptografía, protocolos de red y las limitaciones de los sistemas con poca memoria.
convenciones de nombres internos sugieren un orador Inglés, mientras que las marcas de tiempo muestran que los desarrolladores fueron más activas en los plazos que apuntar a alguien que se encuentra en Europa.
The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC).
**Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET.
**En el campo de la pericial informática:
* Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos.
* Autentificación y Verificación de correos electrónicos.
* Suplantación de identidad y verificación de mensajes en redes sociales.
* Recuperación de datos de dispositivos de almacenamiento físicos.
* Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral.
* Fraudes informáticos y phising.
............
Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.
Me gusta esto:
Me gusta Cargando...
Jose Miguel
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC).
**Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET.
**En el campo de la pericial informática:
* Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos.
* Autentificación y Verificación de correos electrónicos.
* Suplantación de identidad y verificación de mensajes en redes sociales.
* Recuperación de datos de dispositivos de almacenamiento físicos.
* Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral.
* Fraudes informáticos y phising.
............
Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.