IRCTelnet, un nuevo troyano que persigue los dispositivos IoT

Share this…

La segunda parte del año está siendo bastante convulsa para los propietarios y fabricantes de estos dispositivos. De cara a los ciberdelincuentes se han convertido en el mejor aliado para realizar ataques DDoS y para los usuarios un auténtico dolor de cabeza. Una prueba más de todo esto es el último troyano detectado y bautizado con el nombre IRCTelnet.

Ha sido durante el fin de semana pasado cuando los expertos en seguridad de diferentes empresas se percataron d ela existencia de esta amenaza, cuya única finalidad es infectar el dispositivo IoT y así vincularlo a una botnet que realizará ataques de denegación de servicio.

Ya hemos desvelado cuál es el nombre de la amenaza, pero es necesario conocer algunos detalles técnicos. Lo primero que han dado a conocer los investigadores es el lenaguaje de programación en el que se encuentra programada, siendo C++ el elegido en esta ocasión por los ciberdelincuentes.

Utilizando su nombre, se deja entrever que al menos uno de los servicios atacados será Telnet. Los expertos en seguridad así lo han confirmado. IRCTelnet realiza ataques de fuerza bruta contra el puerto de este servicio, con el fin de ganar control remoto sobre el dispositivo IoT.

irctelnet-nuevo-troyano-afectando-a-iot

Los dispositivos afectados por IRCTelnet leen comando de chat IRC comunitario

Aunque pueda parecer una amenaza que carece de complejidad, la poca que posee está muy bien aplicada. Los ciberdelincuentes introducen variaciones en el código que se ejecuta en el dispositivo, permitiendo que un cliente IRC sea capaz de leer un chat comunitario, lugar en el que se publicarán instrucciones. Esto permite distribuir el comando de una forma mucho más rápida y eficaz, en lugar de enviar a cada uno lo que debe ejecutar, realizando ataques de denegación de servicio muy eficaces.

Versiones del kernel Linux afectadas

Los expertos en seguridad han manifestado que los dispositivos que posean la versión 2.6.32 o superior sos susceptibles de verse afectados, sobre todo si las credenciales de acceso al servicio Telent son demasiado obvias, ya que para aplicar la fuerza bruta los ciberdeincuentes se están valiendo de diccionarios con las claves más comunes.

Con respecto al tamaño de la misma, hay que decir que por el momento este se limita a solo 3.400 dispositivos. Sin embargo, solo lleva operativo una semana, por lo que es de esperar que durante las próximas semanas la actividad para infectar dispositivos pertenecientes al IoT sea frenética.

Ni que decir tiene que la mejor forma de proteger nuestros dispositivos frente a esta amenaza es utilizar contraseñas seguras y modificar aquellas que vienen por defecto en los dispositivos.

Fuente:https://www.redeszone.net