Investigadores de ciberseguridad han expuesto una nueva botnet derivada de Mirai que se autoidentifica como xlabs_v1 y apunta a dispositivos expuestos a Internet que ejecutan Android Debug Bridge (ADB) para incluirlos en una red capaz de llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
Hunt.io, que detalló el malware, dijo que hizo el descubrimiento después de identificar un directorio expuesto en un servidor alojado en los Países Bajos en la dirección IP “176.65.139(.)44” sin requerir ninguna autenticación.
El malware admite “21 variantes de inundación en TCP, UDP y protocolos sin formato, incluidos RakNet y UDP en forma de OpenVPN, capaces de eludir la protección DDoS de nivel de consumidor”, dijo Hunt.io, y agregó que se ofrece como un servicio DDoS de alquiler diseñado para apuntar a servidores de juegos y hosts de Minecraft.
Lo que hace que xlabs_v1 sea notable es que busca dispositivos Android que ejecutan un servicio ADB expuesto en el puerto TCP 5555, lo que significa que cualquier equipo que venga con la herramienta habilitada de forma predeterminada, como cajas de TV Android, decodificadores y televisores inteligentes, podría ser un objetivo potencial.
Además de un APK de Android (“boot.apk”, el malware admite compilaciones de múltiples arquitecturas que cubren ARM, MIPS, x86-64 y ARC, lo que indica que también está diseñado para apuntar a enrutadores residenciales y hardware de Internet de las cosas (IoT).
El resultado es una botnet especialmente diseñada para recibir un comando de ataque desde el panel del operador (“xlabslover(.)lol”) y generar una avalancha de tráfico basura a pedido, dirigiendo específicamente el ataque DDoS contra servidores de juegos.
“El bot está vinculado estáticamente a ARMv7, se ejecuta en firmwares de Android eliminados y se entrega a través de pegados de ADB-shell en /data/local/tmp”, explicó Hunt.io. “La lista de carga útil de nueve variantes del operador está adaptada a decodificadores de TV Android, decodificadores, televisores inteligentes y hardware ARM de grado IoT que se envía con ADB habilitado”.
Existe evidencia que indica que el servicio de alquiler de DDoS presenta precios por niveles de ancho de banda. Esta evaluación se basa en la presencia de una rutina de creación de perfiles de ancho de banda que recopila el ancho de banda y la geolocalización de la víctima.
Este componente abre 8.192 sockets TCP paralelos al servidor Speedtest geográficamente más cercano, los satura durante 10 segundos e informa la velocidad de transferencia de datos medida al panel. El objetivo, señaló Hunt.io, es asignar cada dispositivo comprometido a un nivel de precios para sus clientes de pago.
Un aspecto importante a destacar aquí es que la botnet existe después de enviar la información del ancho de banda en Megabits por segundo (Mbps), por lo que el operador debe reinfectar el dispositivo por segunda vez a través del mismo canal de explotación ADB, dada la ausencia de un mecanismo de persistencia.
“El bot no se escribe en ubicaciones de persistencia del disco, no modifica los scripts de inicio, no crea unidades systemd y no registra trabajos cron”, dijo Hunt.io. “Este diseño sugiere que el operador ve el sondeo del ancho de banda como una operación poco frecuente de actualización de niveles de flota en lugar de una verificación previa al vuelo por ataque, y el ciclo resultante de salida y reinfección es la intención del diseño”.
xlabs_v1 también cuenta con un subsistema “asesino” para eliminar a los competidores de modo que pueda usurpar todo el ancho de banda ascendente del dispositivo víctima y usarlo para llevar a cabo el ataque DDoS. Actualmente no se sabe quién está detrás del malware, pero el actor de la amenaza se conoce con el apodo de “Tadashi”, como lo demuestra una cadena cifrada con ChaCha20 incrustada en cada versión del bot.
Un análisis más detallado de la infraestructura ubicada conjuntamente ha descubierto un conjunto de herramientas de minería VLTRig Monero en el host 176.65.139(.)42, aunque actualmente no se sabe si los dos conjuntos de actividades son obra del mismo actor de amenazas.
“En términos comerciales-criminales, xlabs_v1 es de nivel medio. Es más sofisticado que el típico script-kiddie Mirai fork (…), pero menos sofisticado que el nivel superior de operaciones comerciales de DDoS por contrato”, dijo Hunt.io. “Este operador compite en precio y variedad de ataques, no en sofisticación técnica. El objetivo son los dispositivos IoT de consumo, los enrutadores residenciales y los operadores de servidores de juegos pequeños”.
El desarrollo se produce cuando Darktrace reveló que una instancia de Jenkins intencionalmente mal configurada en su red honeypot fue atacada por actores de amenazas desconocidos para implementar una botnet DDoS descargada desde un servidor remoto (“103.177.110(.)202”), mientras simultáneamente tomaba medidas para evadir la detección.
“La presencia de técnicas DoS específicas para juegos resalta aún más que la industria del juego sigue siendo un objetivo importante de los ciberatacantes”, dijo la compañía. “Es probable que esta botnet ya se haya utilizado contra servidores de juegos, lo que sirve como recordatorio para que los operadores de servidores se aseguren de que se implementen las mitigaciones adecuadas”.
