Los dispositivos IoT y su utilización como proxies
En este post vamos a analizar cómo los delincuentes están utilizando los denominados dispositivos IoT (Internet de las cosas por sus siglas en inglés) como proxies para esconder su verdadera localización online mientras perpetran una serie de actividades cibercriminales – desde frecuentar foros underground hasta el fraude de la devolución de impuestos.
Recientemente, oí sobre un investigador en ciberseguridad que había creado un entorno virtual «honeypot» diseñado para simular dispositivos IoT hackeables. La fuente, que solicitó permanecer en el anonimato, declaró que su «honeypot» pronto empezó a ver tráfico destinado para Asus y routers Linksys corriendo con credenciales por defecto. Cuando examinó lo que ese tráfico estaba destinado a hacer, se encontró con que a su sistema «honeypot» se le ordenaba que descargase una pieza de un programa malicioso desde un destino de la Web.
Mi fuente cogió una copia del programa malicioso, la analizó y descubrió que tenía dos funciones básicas: anunciar a una serie de direcciones de Internet codificadas en el registro del programa malicioso con el señuelo «Estoy aquí»; y prestar atención a comandos entrantes, como escanear para detectar nuevos hosts vulnerables o correr programas maliciosos adicionales. Lo siguiente que hizo fue escribir un script para simular los señuelos «Estoy aquí», interpretar cualquier comando de «descargar» y después ejecutar los comandos de «correr» y «descarga».
El investigador se dio cuenta de que si se empujaba el programa malicioso a este sistema «honeypot», éste estaba diseñado para convertir su router infectado en un «servidor proxy SOCKS», esencialmente, un host diseñado para enrutar tráfico entre un cliente y un servidor. Muy a menudo, los proxies SOCKS se usan para convertir las comunicaciones en anónimas, porque pueden ayudar a ocultar el origen verdadero del cliente que está usando el servidor SOCKS.
Cuando se dio cuenta de cómo su sistema estaba siendo usado, mi fuente encendió varios «honeypots» virtuales más y repitió el proceso. Utilizando una herramienta de customización que permite al usuario interceptar (también conocido como «hombre-en-el-medio») tráfico SSL encriptado, el investigador pudo recoger los datos encriptados subyacentes que pasaban a través de sus servidores SOCKS y desencriptarlos.
Lo que observó fue que todos los sistemas se usaban para una variedad de maldades, desde el proxying tráfico Web destinado para forums de ciber crimen hasta el testeo de tarjetas de crédito en websites de compraventa. Un estudio más en profundidad de los expedientes de programas maliciosos y los señuelos de tráfico emanando desde los sistemas «honeypot» lo que indicó fue que sus honeypots estaban siendo comercializados en un servicio criminal de base web que vende acceso a proxies SOCKS a cambio de Bitcoins.
Desafortunadamente, esta clase de proxying criminal no es nuevo. KrebsOnSecurity ha presentado numerosas historias sobre servicios de cibercrimen que venden acceso a ordenadores hackeados como un medio para ayudar a los ladrones a que sus actividades online permanezcan anónimas.
Y mientras que la actividad que mi fuente presenció con su proyecto honeypot, destapó routers de Internet con problemas de seguridad, no hay ninguna razón por la que el mismo tipo de proxying no pueda ser hecho a través de otros dispositivos IoT que no son seguros por defecto, como cámaras de seguridad basadas en Internet y grabadoras de video digital.
Ciertamente, lo que yo intuyo es que así es como estos otros tipos de dispositivos IoT hackeados están siendo usados ahora.
«De alguna manera, esto se parece a los ordenadores de 1995-2000», me dijo mi fuente. «Los dispositivos se estaban aproximando al online, el antivirus no era tan común, y la gente no sabía que el pc medio de una persona podía ser utilizado para hacer algo más. La diferencia ahora es que el número de vendedores y dispositivos ha proliferado, y hay un ecosistema underground con el expertise para explotar, escribir el software a medida. Además, lo que una sola persona hace puede ser compartido fácilmente con un pequeño grupo o con el mundo entero».
Deja una respuesta