Mirai botnet llevaba mucho tiempo oculta, dispersa por la Red, expandiéndose mediante la infección de dipositivos IoT y realizando ataques de denegación de servicio sin aparecer en los titulares de los medios de comunicación. Ahora está disponible su código fuente para quien quiera realizar esto mismo.

ddos-mapa

Mirai botnet

Esta botnet era una herramienta muy útil para sus creadores y muy rentable. Era usada por terceras partes que pagaban grandes cantidades de dinero en Bitcoins por cada “slot” de Mirai botnet. Por lo tanto, estamos ante una botnet terriblemente efectiva, destructiva y que generaba grandes ganancias a sus creadores. Ahora éstos han realizado ataques de denegación de servicio de grandísima magnitud contra 2 objetivos famosos en Internet, antes de liberar el código fuente en un conocido foro sobre hacking.

[FREE] World’s Largest Net:Mirai Botnet, Client, Echo Loader, CNC source code release

Así, la web del conocido investigador de seguridad informática Brian Krebs (krebsonsecurity.COM) y el proveedor de servicios francés OVH recibieron ataques de 620+ Gpbs y 1+ Tbps respectivamente. Datos confirmados por Akamai y OVH. Lo que no sorprende ya que la botnet contaba con 360.000 bots durante esos ataques.

Al observar el código fuente de Mirai Botnet, podemos ver que dispone de un amplio repertorio de ataques, algunos conocidos y otros menos convencionales:

  • UDP Flood.
  • “Valve source engine query flood”. (Conocido como “source”, ataca con los servidores de juego infectados).
  • SYN Flood.
  • ACK Flood.
  • ACK Flood para traspasar sistemas de mitigación. (Ataque “TCP STOMP”).
  • DNS Water Torture. (Poco convencional).
  • GRE IP Flood. (Encapsulado y poco conocido).
  • GRE Ethernet Flood. (Raro de ver).
  • Proxy Knockback Connection. (Nunca implementado anteriormente).
  • Plain UDP flood. (Optimizado para velocidad).
  • HTTP Layer 7 Flood.

Descarga

Mirai Botnet - Código fuente

HackForums

Con la liberación de su código fuente en HF y las instrucciones facilitadas por los creadores para ponerla en marcha, se veían venir muchos ataques de los usuarios y no usuarios del foro. Todo a costa de una botnet que infecta y se apodera de dispositivos IoT de Internet. Hay que dejar claro que la Mirai botnet no emplea los típicos ataques de amplificación, es una botnet muy completa compuesta de 3 partes esencialmente. Builder, Dropper y CnC con Base de datos MySQL.

Mirai botnet

Comienzan las réplicas

Con toda la información y código necesario, muchos hackers ya han comenzado a realizar ataques contra infraestructuras (DynDNS) y muchos sitios web. Por si esto fuera poco, el malware bancario y criminal que se está desarrollando actualmente se va a ver enriquezido por las técnicas visibles en Mirai. No es de extrañar que ahora seamos testigos de ataques DDOS de gran embergadura.

Novedad: Un fabricante de dispositivos electrónicos de china admite que formó parte del ataque masivo contra OVH y Krebs in security:

Anna-senpai

Por último quiero aclarar que aunque he escrito de creadores del programa, sólo hay un nick asociado a este ataque. El nick de usuario de HF es “Anna-senpai”, pero yo he escrito en plural ya que creo que esta botnet es obra de varias personas. Tal vez me equivoque. Este usuario ha expresado en dicho foro su intención de viajar rápidamente a otro país por temor a ser capturado si los análisis de los ataques conducen hasta él.

anna-senpai-2

Es curioso que todo lo relacionado con esta botnet hace referencia a animes (animación japonesa) como “Anna-senpai” que es un nombre del anime “Shimoneta” y “Mirai” hace referencia a la serie “Mirai Nikki (The Future Diary)”.

Más información:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira además

Maratón Linuxero emite hoy su evento de 9 horas en directo sobre Software Libre

Maratón Linuxero, emitirá hoy 3 de septiembre, desde las 15:00 hasta las 24:00 (hora españ…