Minería de Bitcoin con DVR's infectados. Con código fuente!

Pareciera increíble que por la búsqueda del dinero, se utilicen estrategias como infectar sistemas de grabación para vigilancia con malware para hacer minería de Bitcoins. La imaginación es el límite cuando de delitos se trata.

¿Cuánto tiempo le toma a una grabadora de vídeo digital verse comprometida con malware una vez que el dispositivo se ha conectado a Internet? La respuesta lamentable, sólo un día.

A principios de abril de este año, Johannes Ullrich (SANS ISC CTO) descubrió que ciberdelincuentes lograron infectar a equipos de vigilancia digitales (Hikvision DVR y Synology DiskStation) con bitcoin-mining malware, por lo que decidió hacer algunas pruebas.

"Tomé parte de mi 'IoT Honeypot Lab'', añadí un DVR para ver cuánto tiempo se tardaría en quedar comprometida. El DVR (EPCOM Hikvision DVR S04) se instaló tal cuál se compró, exponiendo el puerto 23 a Internet", explicando así la puesta en marcha del laboratorio.

"Durante el primer día de la prueba, 13 direcciones IP de diferentes orígenes escanearon nuestro honeypot, y 6 lograron iniciar sesión con el nombre de usuario y contraseña por omisión ('root', '12345 ')", compartió posteriormente. "Sólo uno de los atacantes fue más allá de un simple "fingerprint" en la honeypot."

Según Ullrich, el atacante finalmente logró subir un binario para  bitcoin-mining, a pesar del hecho de que el dispositivo no cuenta con funciones de "upload" (wget, cliente FTP o Telnet). Éste finalmente logró realizar la hazaña con un script que contienía muchos comandos "echo" para cargar primero el wget, utilizando este último luego para recuperar el bitcoin-mining malware. *0*

Aún así, Ullrich cree que comprometer dispositivos como éste "no traería mucha alegría" a los atacantes.
"Durante el día periódicamente el servidor empuja los parámetros de minera, pero no he visto que devuelva nada, sin embargo, esto pone en relieve el hecho de que este tipo de miners son bastante inútiles debido a su poco procesamiento.", señaló.

También indicó que el dispositivo consiguió ser infectado varias veces, pero que ninguno de los atacantes cambió la contraseña predeterminada o  removió los bitcoin-miners anteriores.

Ullrich describe aquí las características del ataque al DVR, que utilizó para la prueba, siendo obvio que la mayor parte del problema se encuentra en: prácticas de seguridad deficientes y firmware sin ningún sesgo de seguridad.

Acá les dejo el código en Python (publicado en PasteBin) que inyectó los comandos echo al DVR.

Nos vemos!