Johannes Ullrich del Instituto SANS afirma haber encontrado el malware que infecta videograbadoras digitales (DVR), principalmente utilizadas en las grabaciones de sistemas de vigilancia.

Por extraño que parezca, Ullrich afirma que uno de los dos binarios de malware implicados en este esquema de ataque parece ser un Bitcoin miner (software que realiza los cómputos necesarios para liberar nuevas monedas digitales). Mientras que el otro, dice, se ve como un agente HTTP que probablemente hace más fácil la descarga de nuevas herramientas o de otro malware. Sin embargo, actualmente, sólo se ha visto que analiza otros dispositivos vulnerables.

"D72BNr, el Bitcon miner (de acuerdo con la información de uso basado en cadenas) y mzkk8g, que parece ser un agente http simplar (.sp), quizá sean utilizados para descargar herramientas adicionales de forma sencilla (similar a curl/wget, que no está instalado en esta DVR de forma predeterminada)". Escribió Ullrich en en diario SANS.

El investigador tuvo conocimiento del malware la semana pasada después de observar al modelo Hiksvision DVR (utilizado comunmente en las grabaciones de vigilancia) escaneando en el puerto 5000. Así Ullrich fue capaz de recuperar los ejemplares de malware mencionados anteriormente. La lista de ejemplos se encuentra en la publicación de The SANS Diary.

Ullrich señaló que el análisis muestra la constancia del malware, que parece ser un ARM binario; una indicación de que el malware se dirige a dispositivos en lugar de su servidor x86 Linux. Mas allá de eso, el malware también es analizado por Synology (un Network Attached Storage, tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un servidor) en el puerto 5000 de los dispositivos.

"Usando nuestros sensores DShield, inicialmente encontramos un aumento en las exploraciones del puerto 5000", dijo Ullrich a Threatpost vía email, "Asociamos esto con una vulnerabilidad en los dispositivos Synology Diskstation que salió a la luz en la misma época. Para investigar más, hemos creado algunos honeypots que simulan la interfaz de administración web de Synology".

Al analizar los resultados del honeypot, Ullrich dice que encontró una serie de exploraciones: algunos procedentes de Shodan, pero muchos otros originados en estas DVR.

"Al principio, no estábamos seguros de si era el análisis del dispositivo real", admite Ullrich. "En escenarios NAT (Traducción de Dirección de Red), es posible que el DVR sea visible desde el exterior, mientras que un dispositivo diferente está detrás de la misma dirección IP".

Estos DVR particulares, señaló Ullrich, son usados en conjunto con cámaras de seguridad, por lo que a menudo están expuestos en Internet para que los empleados puedan monitorear las cámaras de seguridad de forma remota. A diferencia de las videograbadoras comunes "TiVo", éstas se ejecutan en una versión simplificada de Linux. En este caso, el malware ha sido compilado específicamente para funcionar en este entorno y no se presentaría en una máquina basada en Intel o en Linux, explicó.