Una "botnet justiciera" infecta dispositivos IoT inseguros para evitar su secuestro

Alejo I
Hace aproximadamente seis meses un ataque de denegación de servicio de dimensiones masivas impidió el acceso a páginas y servicios tan importantes como Twitter, Spotify y WhatsApp, doblegando cientos de servidores con una cantidad inabarcable de solicitudes enviadas por un gran número de dispositivos distribuidos por todo el mundo. Todavía queda mucho por saber acerca de ese suceso, pero se tiene la certeza de que miles de webcams chinas fueron secuestradas por una botnet Mirai. Ahora, Symantec ha descubierto una "botnet justiciera" programada para infectar dispositivos inseguros y prevenir su uso malintencionado.

Según explica la compañía, Hajime es una nueva botnet creada sin otro propósito aparente que cerrar las puertas a Mirai y otras redes de robots utilizadas para atacar servidores y en ocasiones controladas de forma lucrativa por hackers de sombrero negro y grupos criminales. Hajime ya ha infectado a un mínimo de 10.000 routers, cámaras conectadas en red y otros dispositivos pertenecientes al Internet de las cosas, ocultando su presencia y bloqueando el acceso a los puertos utilizados habitualmente por Mirai.

La autoría de Hajime es reivindicada por un autoproclamado hacker de sombrero blanco en un breve mensaje firmado que aparece con una frecuencia de 10 minutos. La suya es una aproximación mucho más benigna que la mostrada por BrickerBot, una botnet destructiva también descubierta recientemente y a simple vista diseñada para estropear los dispositivos inseguros de forma irreparable para evitar su secuestro.

Aunque su autor se describe como un hacker de sombrero blanco, Hajime no deja de instalar una puerta trasera sin permiso, por lo que algunos expertos de seguridad lo sitúan en el nebuloso terreno de los hackers de sombrero gris, aquellos que actúan ilegalmente aunque con buenas intenciones. Sea como sea, su propagación está seriamente limitada por el hecho de que permanece en la memoria RAM de los dispositivos infectados y es incapaz de reescribir su firmware, por lo que desaparece de ellos tan pronto como el usuario los reinicia.
Fuente: Symantec