Después de crecer silenciosamente en las sombras durante meses, una nueva botnet de IoT está haciendo sentir su presencia en línea, apareciendo en más y más radares de investigadores de seguridad en las últimas dos semanas.
Seguido por la comunidad se ciberseguridad como Hakai (la palabra japonesa para "destrucción"), esta botnet fue vista por primera vez en junio por investigadores de seguridad de NewSky Security.
Esa versión inicial de Hakai se basó en Qbot (también conocido como Gafgyt, Bashlite, Lizkebab, Torlus o LizardStresser), una cepa de malware de IoT que se filtró en línea hace varios años. Esta primera versión de la botnet era poco sofisticada y rara vez estuvo activa, Ankit Anubhav, un investigador de seguridad de NewSky Security, explicó a ZDNet.
Anubhav dijo que el autor de la botnet inicialmente estaba buscando publicidad y atención. "Me pidió que lo cubriera", dijo Anubhav. "Incluso puso mi foto en la página de inicio del servidor de comando y control en hakaiboatnet [.] pw".
Pero Hakai no permaneció en este estado inocente por mucho tiempo. La botnet comenzó a secuestrar dispositivos de usuario de forma constante aproximadamente un mes después. "El primer ataque de explotación de Hakai fue visto el 21 de julio", dijo Anubhav a ZDNet. Ese exploit aprovechó CVE-2017-17215, una vulnerabilidad que afecta a los enrutadores Huawei HG352, según el investigador.
Desde entonces, la actividad de Hakai ha estado aumentando constantemente.
A mediados de agosto, otros investigadores también estaban comenzando a tomar nota de esta nueva botnet incipiente, y veían a Hakai crecer para atacar más dispositivos y vulnerabilidades. El investigador de seguridad Jouini Ahmed señaló que Hakai había expandido su exploit Huawei inicial para incluir exploits dirigidos a enrutadores D-Link compatibles con el protocolo HNAP, pero también a enrutadores Realtek y dispositivos IoT que usaban una versión más antigua y vulnerable del Realtek SDK. Anubhav también le dijo a ZDNet que a medida que Hakai maduraba, también ampliaba sus capacidades con dos exploits de router D-Link.
Pero además de todos los exploits, el botnet también incluía un escáner Telnet altamente eficiente. Para estos escaneos, los exploits no son necesarios, y el malware Hakai se hace cargo de los dispositivos que pertenecen a usuarios que no cambiaron las contraseñas predeterminadas o que usaban contraseñas simples en forma de raíz "administrador", "1234" y otros.
A principios y mediados de agosto, mientras Hakai ganaba más fuerza con nuevas hazañas y dispositivos infectados, Tempest Security informaba que Hakai había crecido enormemente y mostraba "señales de intensa actividad en América Latina".
Además, el código base de Hakai también parece haber llegado a manos de otras personas. El día de hoy, Anubhav confirmó un informe de Intezer Labs de la semana pasada en el que dos variantes basadas en Hakai, denominadas Kenjiro e Izuku, también se estaban difundiendo en línea.
Pero mientras la botnet Hakai se está convirtiendo en una amenaza inminente y amenazante, la actitud de fanfarronería del autor ha desaparecido por completo, cortando el contacto con los investigadores de seguridad y moviendo los servidores de comando y control.
Este cambio repentino en el comportamiento del autor de Hakai está relacionado con el reciente arresto de Nexus Zeta, el operador de otra botnet IoT llamada Satori.
Al igual que el autor de Hakai, Nexus Zeta presumió en línea sobre las capacidades de su botnet y buscó constantemente la cobertura de los medios de investigadores y periodistas de infosec, incluido el autor de esta nota. Su enfoque tonto dejó migajas que las autoridades no tuvieron dificultades en rastrear para descubrir su identidad en el mundo real, un error que el autor Hakai no parece decidido a seguir.