Hangzhou Xiongmai Technology, un fabricante chino de cámaras de seguridad y grabadores de video digital, dijo en un comunicado por correo electrónico que sus productos se utilizaron para lanzar un ataque cibernético que interrumpió el acceso a varios sitios de Internet a millones de usuarios a finales de la semana pasada. Esto fue posible debido a que ciberatacantes infectaron los dispositivos de  Hangzhou Xiongmai Technology utilizando el malware Mirai.

El viernes usuarios de Internet no tuvieron acceso a sitios web como Twitter, Pandora, Pinterest, Reddit, Spotify, Etsy, Amazon, SoundCloud, GitHub, PayPal, Netflix, entre otros, cuando se lanzó un ataque DDoS a Dyn, un proveedor de servicios del sistema de nombres de dominio (DNS), el cual afectó primero a los usuarios de la costa este de Estados Unidos y posteriormente a la costa oeste.

El malware Mirai explota dispositivos con bajos niveles de seguridad, que puede ir desde routers hasta video cámaras, y utiliza sus conexiones de red para lanzar ataques de denegación de servicio distribuido (DDoS) a gran escala. Expertos de seguridad indican que el malware utiliza una lista de más de 60 combinaciones de nombres de usuario y contraseñas para infectar los dispositivos. De acuerdo con Level 3 Communications, hasta el momento Mirai ha infectado más de 500 mil dispositivos. Previamente la red de bots Mirai había realizado un ataque DDoS de 620Gbps contra el sitio de Brian Krebs, investigador de seguridad.

Un ataque DDoS tiene como objetivo sobrecargar un servidor con solicitudes de conexión que provienen de diversos lugares y pueden evitar que usuarios válidos utilicen un servicio. Los ciberatacantes necesitan dispositivos para poder realizar esas peticiones, una forma de hacerlo es a través de un bot (programa malicioso que realiza actividades de manera automática), en este caso su trabajo era conectarse al servicio de DNS. Una forma de distribuir un bot es a través de un virus o malware, infectando el dispositivo sin que el usuario se dé cuenta.

Si bien estos ataques son comunes, el incidente del viernes solamente se enfocó en atacar un DNS. Un Sistema de Nombres de Dominio (DNS) es un servicio que lleva a cabo la resolución de nombres de dominio a direcciones IP’s y viceversa. Durante el ataque, Dyn se vio inundado de tráfico y si bien los sitios estaban en funcionamiento, el exceso de solicitudes no permitía a usuarios válidos conectarse con éstos.

De acuerdo con Kyle Yok, director de estrategia de Dyn, aproximadamente a las 7:00 am ET, “Dyn comenzó a experimentar un ataque DDoS. Si bien no es raro que el equipo de Dyn Network Operations Center (NOC) mitigue ataques DDoS, rápidamente se hizo evidente que este ataque era diferente. Aproximadamente dos horas después, el NOC de Dyn fue capaz de mitigar el ataque y restaurar el servicio a los clientes.”

"Por desgracia, durante ese tiempo, los usuarios de Internet que se dirigían a los servidores Dyn en la costa este de los EE.UU. no pudieron llegar a algunos sitios de nuestros clientes (...). Debemos tener en cuenta que Dyn no experimentó una interrupción de todo el sistema en cualquier momento (...)".

Después de restaurar el servicio, Dyn sufrió una segunda ola de ataques global al mediodía, pero fue mitigado en poco más de una hora, restaurando el servicio a la 1:00 pm ET; en ningún momento hubo un corte en toda la red, aunque las conexiones de los clientes fueron lentas. Hubo un tercer intento de ataque que fue mitigado por el NOC de Dyn.

Kyle York indicó que “se observaron decenas de millones de direcciones IP asociadas con la red de bots Mirai que formaron parte del ataque”. Tras empezar a investigar el incidente, la firma de seguridad Flashpoint señaló que los dispositivos de Xiongmai fueron utilizados durante el ataque del viernes.

Hasta el momento varios grupos se han adjudicado la responsabilidad del ataque, entre ellos se encuentra New World Hackers, PoodcleCorp y Wikileaks; New World Hackers también adjudica a Anonymus responsabilidad del segundo ataque.

Xiongmai no ha informado cuántos de sus productos fueron afectados, pero mencionó que todas las cámaras fabricadas antes de septiembre de 2015 son potencialmente vulnerables. También mencionó que las contraseñas predeterminadas tuvieron un papel importante en el incidente. La compañía ha retirado del mercado algunos de sus productos vulnerables en los EE.UU., y emitió una actualización de software.

Xiongmai solicita a los usuarios actualizar su firmware y cambiar sus nombres de usuario y contraseñas por defecto.

Expertos de seguridad anticipan un aumento de ataques utilizando dispositivos del Internet de las Cosas (IoT) tras este incidente. Algunas recomendaciones para proteger este tipo de dispositivos se puede encontrar aquí.