Un hacker crea la botnet “Carna” con fines de investigación

Hasta 420.000 dispositivos embebidos inseguros fueron infectados por un hacker sin identificar para crear el Internet Census 2012, el mayor escaneo distribuido de direcciones IPv4 de Internet que se conoce.

Infección mediante la inserción de un código de tamaño entre 46KB y 60KB en dispositivos embebidos ‘mal protegidos’, para crear la Botnet Carna consiguiendo acelerar la velocidad de exploración en un factor significativo.

El código fue configurado para ejecutarse con una prioridad lo más baja posible en el dispositivo infectado para evitar interferencias e incluía un organismo de control para asegurarse de que las operaciones normales del sistema principal no se sobrecargasen.

Además, el hacker introdujo un archivo README en los dispositivos infectados, explicando el propósito del proyecto y otorgando una dirección de correo electrónico para posibles preguntas. Este correo solo ha recibido 2 mensajes, ambos de dos operadores de “honeypots”, los cuales sus “honeypots” habían sido infectadas por el bot.

Aunque se trata de una investigación ‘benigna’, el autor ha violado leyes suficientes para ser condenado a miles de años de prisión, si es descubierto.

Un enfoque poco ortodoxo que contempló la infección de 420.000 equipos para obtener a cambio, unos gráficos fascinantes y un enorme censo de Internet con más de 9 Tbytes con información de los escaneos a los puertos más comunes. Una información comprimida para reducirla a 565 Gbytes y que se está compartiendo vía BitTorrent.

Aunque hay otro resultado en la prueba que es mas interesante, y es la cantidad de sistemas poco protegidos conectados a Internet. El hacker asegura que no ha escaneado las intranets a las cuales pertenecían los dispositivos infectados, aun que este proceso habría resultado sencillo.

Imágenes:

Dispositivos que han respondido a las peticiones de ping en Junio y Octubre de 2012: http://internetcensus2012.github.com/InternetCensus2012/images/worldmap_16to9_3200x1800.png

Actividad de los dispositivos en 24h: http://internetcensus2012.github.com/InternetCensus2012/images/geovideo.gif

Distribución de las direcciones IP de los dispositivos: http://internetcensus2012.github.com/InternetCensus2012/images/hilbert_icmp_map.png

Fuentes:

http://internetcensus2012.github.com/InternetCensus2012/paper.html

http://h-online.com/-1825753

@dvalverde

Anuncios

Acerca de sadcastelao

Blog Seguridad Informática

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: