Un actor de amenazas, apodado como Matrix ha sido vinculado a una campaña de ataques de Denegación de Servicio Distribuido (DDoS) a gran escala. Estos ataques aprovechan vulnerabilidades y configuraciones incorrectas en dispositivos del Internet de las Cosas (IoT), permitiendo su incorporación a una botnet para actividades disruptivas.

La operación se caracteriza por un enfoque multifuncional y autónomo, capaz de realizar tareas como escaneo de redes, explotación de vulnerabilidades, despliegue de malware y creación de kits de ataque. Este enfoque refleja la filosofía de ataque de tipo “hágalo todo usted mismo” en el ámbito de la ciberseguridad. 

Las evidencias sugieren que la campaña es llevada a cabo por un atacante solitario, probablemente un “script kiddie” (un atacante con habilidades técnicas limitadas que usa herramientas existentes). Los principales objetivos de los ataques han sido direcciones IP en China y Japón, además de otras ubicaciones menores como Argentina, Australia, Brasil, Egipto, India y Estados Unidos.

El análisis de vulnerabilidades del actor de amenazas se basó en la evaluación de Exposición a Vulnerabilidades Comunes (CVE) empleando los scripts utilizados, sus objetivos y los puertos asociados. A pesar de que este enfoque puede ser incompleto, se identificaron 10 CVE relevantes en los scripts empleados. La CVE más reciente, CVE-2024-27348, corresponde a una vulnerabilidad crítica en HugeGraph publicada en abril de 2024, que ha sido activamente explotada por el atacante. El resto de las vulnerabilidades identificadas corresponden a CVE más antiguas.

La cadena de ataques de Matrix se caracteriza por la explotación de vulnerabilidades conocidas y el uso de credenciales predeterminadas o débiles para obtener acceso a dispositivos conectados a Internet. Estos dispositivos incluyen cámaras IP, grabadores de video digital (DVR), routers y otros equipos de telecomunicaciones. Además, se explotan servidores mal configurados de Telnet, SSH y Hadoop, con especial atención a las IP de proveedores de servicios en la nube (CSP), como Amazon Web Services (AWS), Microsoft Azure y Google Cloud.

La mayor parte de las vulnerabilidades explotadas se encuentran en dispositivos IoT, como se refleja en los CVE CVE-2022, CVE-2022-30075, CVE-2018-10562, CVE-2018-10561, CVE-2018-9995, CVE-2017-18368, CVE-2017-17215, CVE-2017-17106, CVE-2014-8361. Esto refuerza el objetivo del atacante: comprometer dispositivos IoT con medidas de seguridad mínimas para ampliar su botnet DDoS. El compromiso de estos dispositivos permite su explotación durante periodos prolongados, lo cual facilita mantener una infraestructura de ataque persistente y poco detectable.

El actor de amenazas hace uso de una amplia variedad de scripts y herramientas de código abierto disponibles en GitHub, con el objetivo de desplegar el malware Mirai y otros programas de DDoS en los dispositivos comprometidos. Mirai es una botnet notoria que infecta dispositivos IoT para lanzar ataques de denegación de servicio distribuido. Otros programas desplegados incluyen PYbot, pynet, DiscordGo, Homo Networks y un script JavaScript que ejecuta ataques de inundación HTTP/HTTPS. Adicionalmente, emplea herramientas para desactivar Microsoft Defender Antivirus en sistemas Windows comprometidos.

Matrix también ha creado una cuenta en GitHub, abierta en noviembre de 2023, desde donde aloja artefactos DDoS que forman parte de la infraestructura de esta campaña maliciosa.

Análisis de la actividad de Matrix en GitHub – Aqua Security

La operación de ataque DDoS de Matrix se cree que se ofrece como un servicio de “DDoS por encargo” a través de un bot de Telegram denominado “Kraken Autobuy”. Este bot permite a los clientes seleccionar diferentes niveles de ataque a cambio de pagos en criptomonedas.

Esta campaña demuestra que, aunque carece de sofisticación avanzada, el uso de herramientas accesibles y conocimientos técnicos básicos puede permitir a un individuo ejecutar ataques amplios y multifacéticos, explotando vulnerabilidades y configuraciones erróneas en dispositivos conectados a la red. La simplicidad de estos métodos subraya la importancia de las prácticas de seguridad esenciales, como la actualización de credenciales predeterminadas, la protección de protocolos administrativos y la aplicación de actualizaciones de firmware para mitigar estos ataques oportunistas.

La revelación de esta campaña se da en paralelo con el informe de NSFOCUS sobre “XorBot”, una familia de botnets evasivas que ataca principalmente cámaras y enrutadores de marcas como Intelbras, NETGEAT, TP-Link y D-Link desde noviembre de 2023. La expansión de XorBot está permitiendo a sus operadores involucrarse activamente en operaciones lucrativas, ofreciendo abiertamente sus servicios de DDoS como “alquiler de ataques”, bajo el alias “Masjesu”.

Los operadores de XorBot también han incrementado la sofisticación de su malware mediante la adopción de técnicas avanzadas, como la inserción de código redundante y la ofuscación de firmas de muestra, lo cual dificulta la identificación y monitorización de su comportamiento de ataque, mejorando así su capacidad de evadir medidas de defensa a nivel de archivo.

Más información:

• Matrix botnet exploits IoT decives in Widespread DDoS botnet campaign. https://thehackernews.com/2024/11/matrix-botnet-exploits-iot-devices-in.html
• Matrix unleashes a new Widespread DDoS campaign: https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/
• New DDoS Campaign Exploits IoT Devices and Server Misconfigurations: https://www.infosecurity-magazine.com/news/ddos-campaign-exploits-iot-devices/
• Matrix hackers deploy massive new IoT botnet for DDoS attacks: https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/