Clicky

Para proteger los dispositivos, un hacker los infecta antes que lo haga un maleante

Hajime

Hajime: Hackear para prevenir el hackeo

Debemos hacer observar que hackear un sistema que no te pertenece para obtener un acceso no autorizado es una práctica ilegal, no importa cuál sea la verdadera intención detrás de ello.

Estoy recordando esto porque según se informa alguien, que ha sido calificado como un "hacker vigilante" por los medios de comunicación, está hackeando dispositivos vulnerables del 'Internet de las Cosas' (IoT) con el fin de supuestamente asegurarlos.

Esta no es la primera vez que un hacker ha mostrado vigilancia, ya que hemos visto muchos incidentes anteriores en los que los hackers han utilizado malware para comprometer miles de dispositivos pero, en lugar de hackearlos, forzaron a los propietarios a hacerlos seguros.

Denominado Hajime, el último malware de botnet IoT utilizado por el hacker, ya ha infectado al menos 10.000 routers domésticos, cámaras conectadas a Internet y otros dispositivos inteligentes.

Pero, según se informa, es un intento de luchar contra su control por Mirai y otras amenazas maliciosas.

Mirai es una botnet de IoT que amenazó a Internet el año pasado con ataques récord de denegación de servicio distribuidos contra el popular proveedor de DNS, Dyn, en octubre pasado. La red de bots está diseñada para buscar dispositivos IoT que aún utilizan contraseñas predeterminadas.

Cómo funciona la botnet Hajime IoT

La botnet Hajime funciona de forma similar a Mirai: se extiende a través de dispositivos IoT no seguros que tienen puertos Telnet abiertos y usan contraseñas predeterminadas. También usa la misma lista de combinaciones de nombre de usuario y contraseña con que la botnet Mirai está programada para usar, además de dos más.

Sin embargo, lo interesante de la botnet Hajime es que, a diferencia de Mirai, protege los dispositivos de destino bloqueando el acceso a cuatro puertos (23, 7547, 5555 y 5358) conocidos como vectores utilizados para atacar muchos dispositivos IoT, haciendo que Mirai u otras amenazas queden fuera del dispositivo.

A diferencia de Mirai, Hajime utiliza una red descentralizada peer-to-peer (en lugar de un servidor de comando y control) para emitir comandos y actualizaciones a dispositivos infectados, lo que hace más difícil para los ISP y proveedores de backbone de Internet eliminar la botnet.

La botnet Hajime también toma medidas para ocultar sus procesos y archivos en ejecución en el sistema de archivos, haciendo más difícil la detección de sistemas infectados.

Además, la botnet Hajime carece también de capacidades DDoS o cualquier otro código de piratería, excepto el código de propagación que permite a un dispositivo infectado buscar otros dispositivos vulnerables e infectarlos.

Una de las cosas más interesantes de Hajime: la botnet muestra en los terminales cada 10 minutos aproximadamente un mensaje firmado criptográficamente. El mensaje dice:

Sólo un sombrero blanco, asegurando algunos sistemas.
¡Los mensajes importantes se firmarán así!
Hajime Autor.
Contacto CERRADO ¡Manténgase contento!

No hay nada para emocionarse

Sin duda, hay una tentación de aplaudir a Hajime, pero hasta que los usuarios no reinicien sus dispositivos hackeados.

Dado que Hajime no tiene mecanismo de persistencia, se carga en la RAM de los dispositivos, una vez que se reinicia el dispositivo IoT, vuelve a su estado no seguro, con las contraseñas predeterminadas y el puerto Telnet abierto al mundo.

"Un día un dispositivo puede pertenecer a la botnet de Mirai, después del próximo reinicio podría pertenecer a Hajime, y luego el siguiente a cualquiera de los muchos otros malware/gusanos IoT que están por ahí escaneando dispositivos con contraseñas codificadas. Este ciclo continuará con cada reinicio hasta que el dispositivo se actualice con un firmware más nuevo y más seguro", explicaron los investigadores de Symantec.

Hay otro problema ...

Hackear a alguien para evitar la piratería no es solo la cosa, es por eso que también estamos preocupados por una enmienda relacionada aprobada por los Estados Unidos - Regla 41 - que otorga al FBI poderes mucho mayores para entrar legalmente en computadoras pertenecientes a cualquier país, tomar datos y vigilar remotamente.

Por lo tanto, la cuestión más preocupante de todas - ¿Hay alguna garantía de que el autor de Hajime no agregará capacidades de ataque al gusano para usar los dispositivos secuestrados con fines maliciosos?

Jesus_Caceres