Mirai es un malware de la familia de las botnets destinada a infectar los equipos conformantes del IoT. El objetivo principal de este malware es la infección de routers y cámaras IP, usando estos para realizar ataques de tipo DDoS. La botnet Mirai ha sido utilizada en algunos de los ataques del tipo DDoS más grandes y bruscos de la historia, dentro de los que se incluyen el realizado al sitio web de Brian Krebs , y al proveedor Dyn en octubre de 2016.
El funcionamiento de Mirai es conocido gracias a la publicación de su código fuente en varios foros de hacking, lo que ha permitido que sus técnicas sean adaptadas a otros proyectos.
Mirai escanea continuamente los dispositivos enlazados a IoT y los infecta accediendo mediante telnet con las credenciales de acceso que vienen por defecto, cargando su código malicioso en la memoria principal del dispositivo, de esta forma queda infectado hasta que es reiniciado. Mirai incluye una tabla de máscaras de red a las cuales no infecta, dentro de las que se encuentran redes privadas y direcciones pertenecientes al Servicio Postal de los Estados Unidos, el Departamento de Defensa, IANA, Hewlett-Packard y General Electric.
El malware Mirai se aprovecha de centenares de miles de dispositivos inteligentes conectados. Instala el malware, se hace con el control y recluta un ejército mundial obteniendo acceso a dispositivos con contraseñas predeterminadas faltas de seguridad.
Morai es una botnet cuyo objetivo son dispositivos del llamado Internet de la Cosas (en inglés, Internet of Things, abreviado IoT). Los principales objetivos de este malware han sido los routers, grabadoras digitales de vídeo y cámaras IP de vigilancia.
Este malware ha sido usado principalmente para realizar ataques de denegación de servicio (DoS) a terceros. Un DoS tiene como objetivo degradar la calidad de servicio de un sistema o una red llegando a dejarlo en un estado no operativo o inaccesible
El principal método de infección deMirai es mediante el uso de credenciales por defecto que el malware incluye ya que muchas de las cuales son usadas en dispositivos IoT donde la seguridad en muchos casos en deficiente
Lo primero para poder tomar el control de los dispositivos es que los piratas informáticos, a través de la propia botnet en un proceso totalmente automático, utilizaban los credenciales por defecto (admin/admin) para intentar entrar. Debido a malas prácticas de seguridad, muchos usuarios usuarios no cambian las contraseñas por defecto, por lo que no ponen ninguna barrera a los piratas informáticos.
En caso de que el dispositivo tuviera la contraseña cambiada se realizaban ataques de fuerza bruta desde la propia botnet hasta conseguir entrar.
Una vez que estos lograban establecer una conexión con el dispositivo, se recurría a botnet para inyectar varios exploits que les permitieran conseguir permisos de superusuario en el dispositivo e instalar el troyano Mirai para que este dispositivo pasara a formar parte de la botnet.
Los piratas informáticos se aprovechan básicamente de dos debilidades a la hora de infectar un dispositivo. La primera de ellas es utilizando los credenciales por defecto del router, lo cual podemos solucionar muy fácilmente cambiando la contraseña por defecto por otra contraseña segura, larga y aleatoria que nos proteja de estas vulnerabilidades.
La segunda de las formas utilizadas por los piratas informáticos es utilizar exploits que se aprovechen de distintas vulnerabilidades en los firmware más antiguos. La mejor forma de solucionar esto es actualizando el firmware de nuestros dispositivos a la última versión que tape las vulnerabilidades conocidas. Sin embargo, esto puede llegar a ser un problema para muchos.
Muchos dispositivos, sobre todo los «baratos chinos», no reciben absolutamente ningún tipo de mantenimiento, por lo tanto, es imposible actualizarlos para tapar las vulnerabilidades. Por desgracia, no hay mucho que podamos hacer al respecto, salvo ir pensando en comprar otro dispositivo que sí tenga mantenimiento y actualizaciones de seguridad.
