La botnet de Internet de las Cosas Hakai infecta routers de fabricantes muy populares

Una nueva botnet que afecta a dispositivos de Internet de las Cosas, y que recibe el nombre de Hakai, despertó el pasado mes de junio después de permanecer varios meses en estado durmiente, y según Zdnet se está caracterizando por afectar a los routers de diversos fabricantes muy populares: Huawei, Realtek y D-Link.

Hakai, que recibe su nombre del término japonés para destrucción, utilizó una primera versión basada en la cepa del malware de Internet de las Cosas Qbot, que se filtró en Internet hace ya varios años. Esta primera versión era muy poco sofisticada y mostró muy poca actividad. Al parecer, el autor de esta primera versión sólo buscaba atención y publicidad. Incluso pidió a uno de los investigadores de la entidad NewSky Security, descubridores de la botnet, que la diese publicidad. Este investigador, Ankit Anubhav, asegura que el creador de Hakai le pidió que comunicase su existencia, e incluso incluyó su foto en la página de control y gestión de la botnet.

Desde entonces, la botnet ha ganado en potencia y sofisticación, y se ha dedicado a controlar diversos dispositivos de usuarios. Comenzó por los routers HG352 de Huawei, que ha infectado desde el pasado 21 de julio a base de explotar la vulnerabilidad CVE-2017-17215. En agosto, la botnet ya había atraído la atención de otros investigadores de seguridad, y comenzó también a infectar routers de otras marcas de uso frecuente. Entre ellos, los de D-Link, para lo que utilizaba el protocolo HNAP. También los dispositivos de Internet de las Cosas y los routers de Realtek que utilizaban una versión antigua del SDK de Realtek.

Aparte de tomar el control de diversos dispositivos gracias a varios exploits, la botnet Hakai también incluye un escáner por Telnet, que utilizaba para tomar el control de los dispositivos que encuentra y cuyos propietarios no han cambiado las contraseñas que incorporan por defecto.

A lo largo de los últimos meses, esta botnet ha crecido de manera significativa y se ha convertido en una amenaza para los internautas de todo el mundo, así como para sus dispositivos conectados. Su autor ya no busca publicidad y ha cortado la comunicación con los investigadores, además de cambiar de sitio el centro de control de la botnet, que muestra una notable actividad en zonas de Sudamérica. Mientras, han aparecido ya dos variantes, identificadas ya por expertos en seguridad de Intezer Labs: Kenjiro e Izuku, que apuntan a que más personas podrían haber comenzado a colaborar en el desarrollo de Hakai.