El reclutador DDoS perfecto: el botnet C0XMO controla masivamente routers y grabadores de vídeo (DVR)
Los autores no apostaron por un solo tipo de dispositivo, sino por toda una multitud de objetivos fáciles — y no se equivocaron.
Los routers domésticos desde hace tiempo cumplen una función que los propietarios suelen pasar por alto: un dispositivo vulnerable en el perímetro de la red puede convertirse en parte de un ataque a gran escala. Los especialistas de Fortinet detectaron una nueva variante de la red de bots Gafgyt llamada C0XMO, que infecta dispositivos con firmware DD-WRT a través de la vulnerabilidad CVE-2021-27137 (aún sin puntuación asignada). El fallo está relacionado con un desbordamiento de búfer y permite ejecutar código arbitrario sin autenticación.
C0XMO ya fue observado en un ataque a una empresa tecnológica japonesa, aunque la dirección IP de origen apuntaba a un dispositivo en Alemania. El malware no se dirige solo a routers DD-WRT: las muestras encontradas son compatibles con ARM, MIPS, PowerPC, SuperH, x86, x86_64 y otras arquitecturas. El conjunto también incluye herramientas para ataques contra grabadores de vídeo, routers, plataformas de gestión de vídeo y dispositivos basados en Android.
La característica principal de C0XMO es su diseño modular. Los operadores pueden cambiar por separado los métodos de infección, añadir o eliminar arquitecturas objetivo y ampliar las capacidades de desplazamiento dentro de la red sin reescribir el componente malicioso principal.
Tras la infección, la red de bots descarga un script en Python para buscar nuevos objetivos. El script instala paquetes adicionales, escanea los dispositivos expuestos en Internet en puertos populares, incluidos SSH, Telnet, HTTP y HTTPS, y luego intenta adivinar credenciales débiles. Si se obtiene acceso, el malware detecta la arquitectura del procesador y descarga el ejecutable de C0XMO adecuado.
En el dispositivo comprometido, C0XMO se oculta en directorios temporales, crea tareas cron para reiniciarse cada 15 minutos y modifica los scripts de inicio shell para ejecutarse automáticamente. Luego el malware busca redes de bots competidoras, herramientas de prueba de seguridad y servicios de red que puedan interferir, tras lo cual elimina sus archivos y sus mecanismos de autoarranque.
Tras afianzarse, C0XMO se conecta a un servidor de mando codificado y espera órdenes. La red de bots admite 19 métodos de ataque DDoS, incluidos los floods UDP, TCP, SYN e ICMP, la amplificación mediante NTP y Memcached, así como ataques dirigidos a servicios de red concretos.
Para reducir el riesgo, Fortinet recomienda actualizar los dispositivos, usar contraseñas administrativas únicas y desactivar el acceso remoto cuando no se requiera administración remota.