Botnet de IoTs ataca con DDoS servicios de streaming, durante 13 días

Mirai botnet

¿Crees que tu aplicación o servidor web podrían aguantar con éxito 292000 solicitudes por segundo enviadas desde 402000 direcciones IP diferentes? Piénsalo de nuevo.

Un ataque de denegación de servicio distribuído (DDoS) de tal magnitud sería extremadamente difícil de digerir para muchos servicios de internet, incluso si tienen medidas de seguridad, balanceo de carga o si han superado fases de pentesting.

Es lo que Imperva nos ha contado estos días atrás que ha ocurrido con una empresa, de la que no sabemos el nombre, pero sí que mantiene una app dedicada al streaming de contenidos de vídeo. Es para Imperva el ciberataque DoS de capa 7 más grande que han presenciado.

Botnet de IoTs ataca con DDoS servicios de streaming

La empresa sin nombre tuvo que soportar ataques DDoS lanzados contra la capa 7 del modelo OSI (capa de aplicación) comenzando el pasado mes de Abril. Durante casi 2 semanas el ataque fue continuado con unas 100000 solicitudes por segundo, con picos de casi 300K.

Botnet de IoTs ataca con DDoS servicios de streaming

Los ataques DDoS de capa de aplicación difieren respecto de los de capa de red que se encaminan a congestionar la comunicación entre un sitio objetivo y el resto de internet, tomando tanto ancho de banda como sea posible.

En su lugar, los ataques de capa 7 intentan imitar la actividad real del usuario, consumiendo los recursos de un sitio web con continuas peticiones de tipo GET/POST (enviar, recibir datos). En estos casos es muy difícil diagnosticar si el tráfico es legítimo o no lo es.

Los investigadores del incidente apuntaron finalmente a dispositivos IoT que habrían estado infectados por la botnet Mirai, una de las más activas de los últimos años. Fue lanzada en 2016 y consiguió interrumpir el tráfico de algunos sitios muy populares durante días.

En el caso que nos ocupa no parece haber sido Mirai, sino una de las posteriores mutaciones aparecidas de la primera.

La falta de respuesta hizo el resto

Mirai creó una gigantesca Botnet mediante el escaneo continuo de dispositivos en internet, buscando puertos Telnet abiertos para después intentar combinaciones de usuario/contraseña aleatorios hasta obtener acceso. 

Evidentemente los usuarios o administradores fallaron al parchear los equipos o simplemente no se preocuparon de hacerlo.

Con la publicación del código fuente de Mirai en internet, se hizo un poco más fácil hackear dispositivos IoT inseguros como cámaras CCTV o routers. Estos dispositivos se convertirían en plataformas de ataque perfectas para lanzar ataques de capa de aplicación.

Finalmente, otro de los factores que aseguraron el éxito de la operación fue el cuidado puesto por los hackers al usar un User-Agent legítimo que impidiera a los mecanismos de mitgación de DDoS funcionar como se esperaba.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.