Hajime es una nueva botnet creada sin otro propósito aparente que cerrar las puertas a Mirai y otras redes de robots utilizadas para atacar servidores y en ocasiones controladas de forma lucrativa por hackers de sombrero negro y grupos criminales.  BrickerBot, que también parece ser el trabajo de otro vigilante de Internet. El inconveniente es que BrickerBot no se preocupa por asegurar los puertos abiertos, sino que elimina todo lo que hay en el almacenamiento del dispositivo, incluido el firmware.


Unos seis meses un ataque de denegación de servicio de dimensiones masivas con la Botnet Mirai que impidió el acceso a páginas y servicios tan importantes como Twitter, Spotify y WhatsApp, doblegando cientos de servidores con una cantidad inabarcable de solicitudes enviadas por un gran número de dispositivos distribuidos por todo el mundo. Todavía queda mucho por saber acerca de ese suceso, pero se tiene la certeza de que miles de webcams chinas fueron secuestradas por una botnet Mirai

Varios "vigilantes" de internet decidieron tomar medidas drásticas para evitar futuros ataques. ¿Es legal? ¿Es érticamente correcto?

Hajime infecta dispositivos IoT inseguros para evitar su futuro secuestro

Symantec ha descubierto una "botnet justiciera" programada para infectar dispositivos inseguros y prevenir su uso malintencionado.

Hajime ya ha infectado a un mínimo de 10.000 routers, cámaras conectadas en red y otros dispositivos pertenecientes al Internet de las cosas, ocultando su presencia y bloqueando el acceso a los puertos utilizados habitualmente por Mirai.

La autoría de Hajime es reivindicada por un autoproclamado hacker de sombrero blanco en un breve mensaje firmado que aparece con una frecuencia de 10 minutos.

Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED
Stay sharp!

Aunque su autor se describe como un hacker de sombrero blanco, Hajime no deja de instalar una puerta trasera sin permiso, por lo que algunos expertos de seguridad lo sitúan en el nebuloso terreno de los hackers de sombrero gris, aquellos que actúan ilegalmente aunque con buenas intenciones. Sea como sea, su propagación está seriamente limitada por el hecho de que permanece en la memoria RAM de los dispositivos infectados y es incapaz de reescribir su firmware, por lo que desaparece de ellos tan pronto como el usuario los reinicia.


 Mientras que Hajime fue observado por primera vez el año pasado, sólo recientemente se hizo evidente a los investigadores que el autor de este malware no tenía intención de usar dispositivos infectados para el mal.

Cuando se descubrió en octubre pasado, Hajime sólo llegó con un módulo de autorreplicación que le permitió propagarse desde el dispositivo IoT al dispositivo IoT a través de puertos Telnet abiertos y no seguros.

El autor del malware no agregó una función DDoS, no usó su botnet para retransmitir tráfico malicioso ni ninguna otra operación intrusiva.

Durante los últimos seis meses, Hajime ha estado usando su módulo de auto-replicación para luchar con Mirai y otras botnet IOT para el control de los dispositivos IoT

Hajime utilizado para proteger dispositivos IoT

Hajime infecta un dispositivo bloquea el acceso a los puertos 23, 7547, 5555 y 5358, que son todos los puertos que han sido explotados en el pasado por el malware IoT.

Después de eso, Hajime también contacta a su servidor de comando y control y devuelve un mensaje firmado criptográficamente cada diez minutos.

Hajime continúa donde dejó Wifatch

Este no es el primer mensaje o comportamiento de este tipo que hemos visto en los últimos años. A finales de 2015, los investigadores de Symantec también descubrieron Wifatch, otro malware dirigido a dispositivos IoT basados en Linux, que también tomó control de dispositivos inteligentes, cerró sus puertos, cambió contraseñas predeterminadas y dejó mensajes de advertencia en la consola del dispositivo.

Wifatch, al igual que Hajime, fue también el trabajo de otro vigilante, un equipo de misteriosos investigadores de seguridad que lleva el nombre de The White Team.

Al igual que Hajime está luchando con Mirai por el control de los dispositivos IoT no asegurados, en 2015, Wifatch jugó un factor importante en paralizar la botnet administrada por el infame Lizard Squad al asumir muchos de los dispositivos que el grupo estaba usando para lanzar ataques DDoS.

Las acciones protectoras de Hajime no son permanentes

Hajime hará muchos de nosotros un gran favor si logra restringir el alcance de las botnets Mirai, que han estado detrás de los ataques DDoS más devastadores conocidos hasta la fecha.

Desafortunadamente, las acciones de Hajime no son permanentes, ya que al igual que Mirai, el gusano y sus acciones se eliminan de los hosts infectados cuando el propietario reinicia su dispositivo. Esta es la razón por la cual Hajime y Mirai están enredados en un bucle infinito para controlar estos dispositivos.

Un día Mirai puede estar usando su DVR para lanzar ataques DDoS contra una compañía de juegos, mientras que al día siguiente Hajime estará cerrando los puertos del DVR. A medida que se reinicia el dispositivo, el ciclo se repite en un bucle sin fin, dependiendo de qué cepa de malware llega primero al dispositivo.

Hajime fue creado específicamente para proteger contra Mirai

Todas las pistas apuntan a la conclusión de que Hajime fue creado para atacar directamente a Mirai, y reducir el número de dispositivos que Mirai puede infectar.

En primer lugar, Hajime apareció dos o tres semanas después de que Mirai llevó a cabo sus mayores ataques, contra OVH, DynDNS y KrebsOnSecurity, muy probablemente como una respuesta después de que el autor de Mirai liberara el código fuente del malware y lo pusiera a disposición de cualquiera.

En segundo lugar, Hajime incluye los mismos nombres de usuario y combinaciones de contraseñas que utiliza Mirai, lo que demuestra una clara intención de apuntar al mismo dispositivo que mira Mirai.

Esta táctica parece haber sido un éxito ya que Hajime se extendió rápidamente por todo el mundo, ya tomando y neutralizando un gran número de dispositivos en países como Brasil, Irán y Rusia.

Parece que el número de bots Mirai  ha ido constantemente disminuyendo desde el comienzo del año.

Características interesantes de Hajime

• El malware se dirige a dispositivos basados en Linux que se ejecutan en las plataformas arm5, arm6, arm7, mipseb y mipsel
• La mayoría de los dispositivos infectados son DVR, cámaras de seguridad y routers domésticos
• Hajime se propaga a los dispositivos de tres maneras: (1) forzando por fuerza brutas cuentas Telnet con credenciales débiles; (2) mediante la explotación de una falla en el protocolo TR-064 utilizado por los ISP para administrar en forma remota los routers; Y (3) por la contraseña del cable módem de Arris
• Hajime utiliza exactamente las mismas combinaciones de nombre de usuario y contraseña que Mirai está programado para usar, además de añadir dos más
• Hajime ha pasado por seis actualizaciones desde el comienzo de 2017, lo que significa que su autor todavía lo está desarrollando
• El operador Hajime controla su botnet a través del protocolo P2P
• Todas las comunicaciones Hajime bot están cifradas
• El binario de malware Hajime tiene una arquitectura modular y puede descargar otros módulos para añadir una funcionalidad adicional
• La mayoría de estos módulos y binarios se almacenan en otros robots infectados y no se descargan desde un servidor central
• Los investigadores de seguridad han detectado sólo módulos de autorreplicación, pero no hay módulos para ataques DDoS o tráfico proxy
• Los módulos personalizados se pueden escribir en cualquier idioma, siempre y cuando puedan ser compilados en un binario para una de las plataformas soportadas
• Hajime no presenta ningún código de persistencia y el malware se puede eliminar reiniciando el dispositivo
• El primer informe Hajime de Rapidity Networks identificó un error en el protocolo de comunicaciones, que el autor arreglo rápidamente
• El autor del malware no se refirió a su malware como Hajime, pero empezó a llamarlo así después del informe original de Rapidity Networks
• Cada vez que un bot infectado contacta con un servidor C & C para una configuración actualizada, el malware muestra un mensaje en la consola del dispositivo 

Autor de BrickerBot dice haber infectado 2 millones de dispostivios

BrickerBot, una botnet destructiva también descubierta recientemente y a simple vista diseñada para estropear los dispositivos inseguros de forma irreparable para evitar su secuestro.

BrickerBot, que también parece ser el trabajo de otro vigilante de Internet. El inconveniente es que BrickerBot no se preocupa por asegurar los puertos abiertos, sino que elimina todo lo que hay en el almacenamiento del dispositivo, incluido el firmware.

BrickerBot es una nueva familia de malware que fue identificada por primera vez a principios de mes por los investigadores de Radware. El malware apareció en los titulares porque era la primera amenaza de su tipo que intencionadamente bloqueaba el IoT y los dispositivos de red, reescribiendo el espacio de almacenamiento flash de los dispositivos afectados con datos aleatorios. Tales acciones hicieron inútiles los troves de dispositivos, muchos necesitando un reinstalar firmware, pero como muchos que necesitan ser reemplazados por completo.



Acciones destructivas como estas atrajeron la atención de las autoridades. En Estados Unidos, el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT) emitió una alerta oficial la semana pasada, advirtiendo a las compañías que deshabilitaran el acceso de Telnet y SSH a sus dispositivos y pidieran a los propietarios cambiar las contraseñas predeterminadas de fábrica de sus dispositivos

El autor dice que sintió consternado por los ataques DDoS indiscriminados de las botnets de IoT en 2016. Pensó que los grandes ataques obligarían a la industria a lograr finalmente su actuación conjunta, pero después de unos meses de ataques récord se hizo evidente Que a pesar de todos los esfuerzos sinceros el problema no podía ser resuelto con rapidez por medios convencionales. El desorden de seguridad de IoT es el resultado de compañías con conocimiento de seguridad insuficiente desarrollando dispositivos conectados a Internet poderosos para usuarios sin conocimiento de seguridad. La mayoría de los dispositivos orientados al consumidor IoT que he encontrado en la red parecen haber sido desplegados casi exactamente como salieron de la fábrica.

Por ejemplo, 9 de cada 10 cámaras IP de Avtech que he sacado del db del usuario se configuraron con el administrador / admin de inicio de sesión predeterminado. Deje que la estadística de fregadero en un segundo ... y luego considerar que si alguien lanzó un coche o herramienta eléctrica con una característica de seguridad que falló 9 veces de cada 10 sería retirado del mercado inmediatamente. No veo por qué peligrosamente diseñado IoT dispositivos deben ser tratados de manera diferente y después de los ataques de Internet de 2016 nadie puede argumentar seriamente que la seguridad de estos dispositivos no es importante.

Espero que los organismos reguladores hagan más para penalizar a los fabricantes descuidados, ya que las fuerzas del mercado no pueden solucionar este problema. La realidad del mercado es que los consumidores técnicamente no calificados obtendrán el DVR de etiqueta blanca más barato que puedan encontrar en su tienda local, entonces le pedirán a su sobrino que lo conecte a Internet y unos minutos más tarde estará lleno de malware . Por lo menos con "BrickerBot" había una cierta esperanza breve que tales dispositivos peligrosos podrían convertirse en el problema del comerciante y del fabricante más bien que nuestro problema.

Fuentes:
https://www.elotrolado.net/noticia_una-botnet-justiciera-infecta-dispositivos-iot-inseguros-para-evitar-su-secuestro_31694
https://www.bleepingcomputer.com/news/security/brickerbot-author-claims-he-bricked-two-million-devices/