Torii es la nueva botnet que está poniendo en jaque la seguridad del Internet de las Cosas

Torii es la nueva botnet que está poniendo en jaque la seguridad del Internet de las Cosas

Rubén Velasco

Cada vez existen más dispositivos conectados a Internet, dispositivos de todo tipo que forman lo que conocemos como «Internet de las Cosas«, o IoT. Desde cámaras de vigilancia hasta micro-servidores y electrodomésticos, cada vez son más los dispositivos conectados a la red, dispositivos que, por desgracia, no destacan precisamente por su seguridad, hecho que no han tardado los piratas informáticos en aprovechar para tomar el control de estos dispositivos y crear peligrosas botnets, como Mirai o la nueva botnet recién descubierta: Torii.

Recientemente, un grupo de investigadores de seguridad acaba de descubrir esta nueva botnet en la red, una botnet que es, en prácticamente todos los sentidos, superior a Mirai, la que hasta ahora era una de las mayores preocupaciones de los expertos de seguridad.

Tal como se ha podido comprobar, el grupo de piratas informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo.

Torii Botnet

Cómo funciona la botnet Torii

Aunque de momento no se sabe muy bien cuál es la finalidad de esta botnet, desde luego los piratas informáticos detrás de ella saben muy bien lo que están haciendo. Tal como han podido demostrar los investigadores de seguridad, esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero, a diferencia de otras, el ataque llega directamente desde la red Tor.

Como ocurre con la mayoría de los ataques informáticos de la red Tor, esta botnet busca dispositivos que utilicen credenciales Telnet poco seguros, pudiendo establecer conexión a través de este protocolo con el dispositivo y usando comandos como wget, ftpget, ftp, busybox wget o busybox ftpget para lograr cargar el malware en cuestión.

Cuando el dispositivo está infectado, la comunicación con el servidor de control se realiza completamente cifrada, lo que complica el análisis de estas comunicaciones.

Torii cuenta con 6 sistemas de ejecución automática para garantizar la persistencia

Además de abarcar muchas más arquitecturas que Mirai, los piratas informáticos responsables de esta botnet han cuidado especialmente su persistencia, siendo la tercera botnet, después de VPNFilter y Hide and Seek, en tener un mayor grado de persistencia para permanecer en los dispositivos infectados.

Según los investigadores, cuando el binario (el cual llega a través de Telnet como hemos explicado) se ejecuta en el dispositivo, automáticamente se crean una serie de reglas para garantizar su supervivencia:

  • Se inyecta automáticamente en ~.bashrc.
  • Crea una regla @reboot en crontab.
  • Se configura como un servicio «System Daemon» desde systemd. Podéis ver cómo crear servicios con systemd en nuestro tutorial.
  • Vuelve a llamarse como «System Daemon» desde /etc/init y PATH.
  • Activa la ejecución automática desde SELinux Policy Management.
  • Se ejecuta desde /etc/inittab.

Como hemos dicho, no se sabe muy bien cuál es la finalidad de esta botnet ya que, de momento, no ha llevado a cabo ningún ataque ni ha hecho nada, simplemente permanece latente, aumentando su número de dispositivos zombies y esperando a atacar. Según los expertos se cree que la finalidad principal de la misma es, como ocurre con Mirai y otras botnet similares, llevar a cabo ataques DDoS o minar criptomonedas, pero, para saberlo, habrá que esperar.

Cómo protegernos de Torii

La forma de protegernos de esta botnet y evitar pasar a formar parte de ella es igual a la de otras botnets, es decir, bastará con tener nuestros dispositivos IoT actualizados con las últimas versiones del firmware y, muy importante, cambiar la contraseña por defecto de Telnet (que normalmente es la contraseña del dispositivo como tal) por otra mucho más segura y robusta.

Así, aunque Torii intente conectarse a nuestro dispositivo no podrá hacerlo y, por ello, no podrá infectarlo.

¿Qué opinas de esta nueva botnet? ¿Crees que el Internet de las Cosas sigue siendo uno de los puntos más débiles de la seguridad informática?