Abstrict Acerca de, Regicator Regional SAARC, A10 Networks
En octubre de 2016, la botnet Mirai ordenó a varios dispositivos, como enrutadores, cámaras web, DVR, cámaras IP, termostatos, grabadoras de video digital y otros dispositivos conectados a Internet, implementar cargas útiles DDoS que superan los rendimientos de 1 Tbps. Las botnets se utilizaron para lanzar ataques DDoS masivos para derribar servidores, aplicaciones, servicios y sitios web. parecemiraipuede tener algo de competencia. Y su nombre es WireX Botnet.
Google eliminó recientemente aproximadamente 300 aplicaciones de su Play Storedespués de que los investigadores descubrieran que las aplicaciones en cuestión estaban secuestrando secretamente dispositivos Android para alimentar el tráfico a ataques distribuidos de denegación de servicio (DDoS) a gran escala contra múltiples redes de entrega de contenido (CDN) y proveedores de contenido.
Según un equipo de investigadores de Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru y otras organizaciones, la culpa la tiene la botnet WireX.
Los investigadores de Akamai descubrieron WireX por primera vez cuando se utilizó para atacar a uno de sus clientes, una empresa hotelera multinacional, enviando tráfico desde cientos de miles de direcciones IP.
"La botnet WireX comprende principalmente dispositivos Android que ejecutan aplicaciones maliciosas y está diseñada para crear tráfico DDoS. La botnet a veces se asocia con notas de rescate para los objetivos", escribió Cloudflare en una publicación de blog.
WireX utilizó los dispositivos secuestrados para lanzar ataques DDoS volumétricos a la capa de aplicaciones, señaló Cloudflare. El tráfico generado por los nodos de ataque fue principalmente solicitudes HTTP GET, aunque algunas variantes parecían ser capaces de emitir solicitudes POST. En otras palabras, la botnet produce tráfico que se asemeja a solicitudes válidas de clientes HTTP y navegadores web genéricos.
Las aplicaciones maliciosas en cuestión incluían reproductores multimedia y de vídeo, tonos de llamada y otras herramientas como administradores de almacenamiento. Según Gizmodo, las nefastas aplicaciones contenían malware oculto que podía utilizar un dispositivo Android para participar en un ataque DDoS siempre que el dispositivo estuviera encendido.
No está claro cuántos dispositivos fueron infectados: un investigador le dijo a KrebsOnSecurity que WireX infectó un mínimo de 70.000 dispositivos, pero señaló que la estimación es conservadora. Se cree que se utilizaron dispositivos de más de 100 países para participar en los ataques.
"Setenta mil era una apuesta segura porque esta botnet hace que si estás conduciendo por la autopista y tu teléfono está ocupado atacando algún sitio web, existe la posibilidad de que tu dispositivo aparezca en los registros de ataque con tres, cuatro o incluso cinco direcciones de Internet diferentes", dijo Chad Seaman, ingeniero senior de Akamai, en una entrevista con KrebsOnSecurity. "Vimos ataques provenientes de dispositivos infectados en más de 100 países. Venían de todas partes".
WireX, al igual que su predecesor Mirai, ilustra la importancia de proteger su red y sus aplicaciones contra ataques. Los ataques a gran escala pueden provenir de cualquier lugar, incluso de una botnet que comprenda decenas de miles de dispositivos Android. A medida que este tipo de ataques aumentan en frecuencia, sofisticación y tamaño, las organizaciones necesitan implementar soluciones para detenerlos antes de que tengan la oportunidad de causar estragos.
WireX es único porque introduce una nueva amenaza: los teléfonos inteligentes armados, que introducen miles de millones de puntos finales listos para una infección que puede propagar agentes dañinos en una red móvil.
Tradicionalmente, las redes de proveedores de servicios y móviles están protegidas contra ataques que llegan a través de Internet. Sin embargo, muchos componentes críticos quedan desprotegidos basándose en el supuesto de que los ataques se detendrán en el borde de Internet. Ataques como WireX cambian este paradigma.
"WireX demuestra que los ataques también pueden originarse desde el interior de una red móvil, y unos pocos miles de hosts infectados pueden afectar el cerebro de una red móvil", dijo el director de gestión de productos de A10, Yasir Liaqatullah. "Estos teléfonos inteligentes infectados eventualmente comenzarán a atacar los componentes críticos de las redes móviles, y las consecuencias potenciales de esto podrían ser tremendas".
Ataques como WireX refuerzan la necesidad de que los proveedores de servicios protejan sus activos clave en todos los frentes, no sólo de ataques desde el exterior, sino también desde el interior.
Para combatir ataques como WireX, los proveedores de servicios y operadores de redes móviles necesitan una solución inteligente y escalable.entre los teléfonos inteligentes y la infraestructura de la red móvil, tanto interna como externa. Para abordar este sofisticado tipo de ataque, una solución DDoS moderna requiere inteligencia para comprender la naturaleza cambiante de un ataque polimórfico, que tiene la capacidad de cambiar firmas y distintos encabezados, como los lanzados por WireX.
Colocar protección contra amenazas inteligente, escalable y de alto rendimiento en la red móvil ayudará a los proveedores de servicios a defenderse contra estos miles de millones de terminales armados y les permitirá detectar amenazas en línea y tipos de ataques multivectoriales, aprender de ellos y, lo más importante, detenerlos.
Un enfoque de múltiples capas garantizará que toda la infraestructura de los proveedores de servicios y operadores móviles (tanto por dentro como por fuera) esté protegida contra amenazas. Además, una solución DDoS de alto rendimiento puede proteger contra ataques DDoS multivectoriales de megabits a terabits, como los impulsados por WireX.
