¿Qué es y cómo funciona Mirai?

Introducción

Si preguntas a expertos en seguridad informática sobre plataformas emergentes, escucharás muchas respuestas, pero Internet of Things, o IoT, será una de las principales respuestas. Los atacantes son conscientes de esto y han tomado una página del hacking convencional para introducir un nuevo tipo de malware. Este tiene similitudes con los ataques de botnet pero que se aplica al mundo de IoT.

Este malware se llama Mirai y aprovecha las vulnerabilidades únicas de IoT para crear una red de computadoras proxy. Este es capaz de atacar objetivos tan pequeños como la cámara web de un individuo o tan grandes como Internet de un país entero.

Este artículo te detallará qué es Mirai y exploraremos cómo funciona y algunos ejemplos reales de este malware. También te diremos qué se puede hacer para minimizar las posibilidades de que Mirai afecte tus dispositivos IoT.

¿Qué es Mirai?

Mirai es un malware creado por Protraf, una compañía que ofrece servicios de mitigación de denegación de servicio (DDoS) distribuidos. Esto se ha denominado un caso clásico de fraude. Los cofundadores de Protraf, Paras Jha, Josiah White y Dalton Norman fueron responsables de infectar a clientes potenciales con Mirai.  Después de lo cual Protraf llegaría como un caballero blanco y ofrecería sus servicios a las víctimas.

Este malware esclaviza dispositivos IoT, incluidas cámaras web, cámaras de seguridad, videograbadoras digitales, monitores para bebés, enrutadores de red y vehículos. También otros dispositivos inteligentes, convirtiéndolos en un ejército de dispositivos zombies maliciosos.

Los resultados pueden ser devastadores, incluso más que los ataques tradicionales de botnet. Junto con las otras características únicas de Mirai, es claro ver que se distingue como un nuevo tipo de malware por completo.

A medida que más y más dispositivos se trasladen al ámbito de los dispositivos inteligentes como predicen los expertos, Mirai se convertirá en una amenaza aún mayor.

Poco después de que Mirai apareciera por primera vez en agosto de 2016, el FBI comenzó a interrogar a los cofundadores de Protraf sobre el malware. Si bien finalmente fueron encarcelados y condenados, la singular caja de Pandora ya se había liberado. Esto cuando los cofundadores hicieron que el código fuente de Mirai estuviera disponible en línea.

Otros atacantes comenzaron a crear imitadores Mirai, causando daños colaterales extendidos.

¿Cómo funciona Mirai?

Mirai aprovecha la mayor vulnerabilidad subyacente de los dispositivos IoT: poca seguridad. Los dispositivos IoT tradicionalmente tienen poca seguridad porque no hay interrupción del servicio o costo asociado con violaciones de seguridad.

Esta falta de incentivos se extiende a los usuarios finales. Los usuarios tienden a confiar en las combinaciones predeterminadas de nombre de usuario y contraseña como la única medida de seguridad.

Los dispositivos IoT son conocidos por tener poca seguridad, y las soluciones antivirus para estos dispositivos aún no se usan ampliamente. Mirai tiene una función que puede deshabilitar el antivirus, lo que vulnera los dispositivos de IoT específicos más preocupados por la seguridad.

Los objetivos de Mirai

Mirai trabaja escaneando la web en busca de dispositivos IoT que se ejecutan en el procesador ARC. Esto ofrece opciones fáciles para Mirai porque la versión simplificada de Linux que ejecuta ARC es donde se almacenan las credenciales de inicio de sesión. Asimismo, indica a los atacantes la alta probabilidad de que se usen las credenciales de inicio de sesión predeterminadas para el dispositivo IoT.

Desde su inicio en 2016, Mirai ha sufrido varias mutaciones. Esto le permite centrarse en dispositivos inteligentes particulares que pueden ser inmunes a la estrategia de ataque original de Mirai.

La última de las mutaciones de Mirai contiene 18 nuevas vulnerabilidades que se centran en productos específicos, como los dispositivos Wemo de Belkin y los televisores inteligentes LG Supersign.

Estructura de Mirai

La versión original de Mirai estaba formada por dos componentes principales: el archivo de malware y el servidor de comando y control (C2). Este malware se diseñó para funcionar con varias arquitecturas de CPU diferentes más utilizadas por los dispositivos IoT, que incluyen:

  • x86
  • Sparc
  • ARM
  • Motorola
  • PowerPC

Después de que Mirai establece un punto de apoyo en un dispositivo, prueba hasta 60 credenciales de inicio de sesión predeterminadas diferentes. Prueba con las que se sabe que los fabricantes cargan dispositivos IoT.

Una vez que la infección se ha apoderado, Mirai utiliza varias técnicas para evadir la detección y ocultar los intentos de ingeniería inversa. Cuando el malware se carga en la memoria, se elimina del disco del sistema comprometido. En poco tiempo, los dispositivos comprometidos son esclavos involuntarios de los atacantes.

Ejemplo del mundo real

Desde su descubrimiento, Mirai ha sido responsable de esclavizar a cientos de miles de dispositivos. Sin duda, esto se debe a las variantes de Mirai basadas en el código fuente de Mirai lanzado en 2016.

Una de las instancias más importantes de un ciberataque de Mirai fue en 2016, cuando se usó para interrumpir gravemente Internet en el país africano de Liberia. El atacante Daniel Kaye fue arrestado por su papel en este ataque y un tribunal del Reino Unido terminó condenándolo a dos años de prisión.

Cómo defenderse contra Mirai

La defensa contra Mirai es complicada por el hecho de que a veces el usuario no tiene control sobre la seguridad del dispositivo. Este se configura en la fábrica.

Para aquellos que tienen acceso a la configuración de seguridad, cambiar todas las contraseñas predeterminadas es la mejor defensa para este malware.

La mayoría de las otras formas de defenderse contra Mirai se derivan de tener políticas sólidas de seguridad de la información dentro de una organización.

Los ejemplos de estas políticas incluyen garantizar que todas las interacciones de dispositivos de IoT de la organización estén autenticadas y cifradas. También restringir el acceso público de Internet a los dispositivos de IoT.

Conclusión

Mirai es un malware de IoT que puede convertir dispositivos en zombies, de forma similar a una botnet. Este malware infecta los dispositivos IoT mediante el uso de contraseñas de inicio de sesión predeterminadas. Esto con del fin de evitar la minúscula seguridad que viene predeterminada de fábrica para la mayoría de los dispositivos inteligentes. El resultado final puede ser debilitante, como lo fue la experiencia en Liberia en 2016.

Sin embargo, al cambiar las contraseñas predeterminadas de los dispositivos IoT e implementar políticas razonables de seguridad informática de IoT, se puede evitar fácilmente Mirai.