grandeduc - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Hackers vigilantes de Team White hablan sobre la infección de 300,000 dispositivos

Los hackers de Team White se acreditaron la infección de más de 300 mil dispositivos con el malware Wifatch, diseñado para reforzar la seguridad, pero los expertos cuestionan las acciones del equipo vigilante.

Los hackers vigilantes detrás del reciente malware Wifatch han roto su silencio, y Team White confirmó que en un momento dado, el número de ruteadores "protegidos" por su software es de alrededor de 60,000. Team White ha afirmado que infectaron más de 300,000 dispositivos en total, pero no pueden endurecerlos a todos.

Team White le contó a nuestra publicación hermana, SearchSecurity, que nunca tuvieron la intención de salir a la luz. El plan era asegurar silenciosamente dispositivos cuyos dueños fueron negligentes, pero una vez que los medios de comunicación se apoderaron de la historia, tenía más sentido ser abiertos y honestos.

"El objetivo principal era negar estos dispositivos a los operadores de malware", dijo Team White por medio de correo electrónico. "Lo que hicimos fue permanecer honestos con nosotros mismos, y no abusar de estos dispositivos. El permanecer en secreto tenía sentido para no alertar a los autores de malware de esta amenaza para ellos [sic]."

Los hackers de Team White afirmaron que el número de dispositivos protegida por escaneo de malware en su red de bots es por lo general es de alrededor de 60,000, pero dijo que en su repositorio de fuentes GitLab el número puede variar por encima de los 100,000. El número total de dispositivos que se ejecutan en Wifatch puede ser superior a 300,000 –la mayoría de los cuales son cámaras de vigilancia, no ruteadores. Sin embargo, no todos los dispositivos pueden ser protegidos. El equipo expresó que planean "desinfectar" estos dispositivos en algún momento, que es el término que utilizan para el endurecimiento y eliminación de malware en los dispositivos que infectan, pero temas como la memoria limitada pueden hacer la tarea más difícil.

"Estos dispositivos casi siempre sufren de negligencia y a menudo son mantenidos por usuarios que no son técnicos en absoluto. La mayoría de ellos no son conscientes de que su ruteador está atacando a otros hosts en internet", escribió Team White. "En verdad planeamos desinfectar esos dispositivos en cierto punto, sin embargo, pero esto es técnicamente más difícil que lo que hacemos ahora".

En un esfuerzo por ser más abiertos y honestos, los hackers Team White también liberaron parte del código para el malware Wifatch y lo puso a libre disposición de uso bajo la Licencia Pública General (GPL). Symantec Corp. confirmó que el código publicado era real, haciéndolo coincidir con la firma digital del malware original. SearchSecurity también verificó la firma en la correspondencia de correo electrónico con la clave PGP en el repositorio GitLab.

"Creemos que el conocimiento en general, debe ser libre (incluyendo los cursos de física y planes de bombas), con muy pocas (y bien razonadas) excepciones", escribió Team White, "porque el conocimiento en sí es neutral, y la mejor manera de reducir el daño es mejorar el mundo para que haya menos personas que piensan que necesitan participar en actos malvados".

Team White reconoció que la liberación de código malicioso puede ser peligrosa, y señaló que tomó medidas para mitigar los riesgos.

"Dado que debe haber una compensación, liberamos todas las fuentes que se ejecutan en los dispositivos de otras personas, pero no la fuente que permite a la gente a hacerse cargo de ellas", escribió Team White. "Nosotros no publicamos la clave secreta que permitiría darle comandos a estos bots, o el código para infectar dispositivos."

El investigador de seguridad y ex hacker de sombrero negro, Héctor X. Monsegur, está preocupado de que todavía pudiera ser suficiente que los actores maliciosos hagan ingeniería inversa del código. Monsegur dijo que esto sería posible dado el número de dispositivos que Wifatch infecta pero no puede proteger, es decir, se podría obtener el código completo de la infección.

Monsegur también cuestionó por qué Team White no hace más para notificar a los propietarios de los dispositivos que no pueden ser protegidos.

"Lo que pueden hacer es automatizar el proceso de información", dijo Monsegur. "Los investigadores han estado utilizando ZMAP y escáneres en todo el internet para encontrar vulnerabilidades en masa. Escriban un guión para probar tales resultados y automaticen una plantilla de correo electrónico para cada ISP."

Team White dijo que no ha intentado ponerse en contacto con los infectados por varias razones. En primer lugar, escanear los dispositivos para obtener una dirección de correo electrónico "viola su privacidad", según Team White, y el equipo afirma que notificar a los ISP "no ha demostrado ser muy fructífero en el pasado."

Monsegur y otros expertos también expresaron su preocupación por el potencial daño no intencionado que vigilante puede hacer. Team White admitió que su software potencialmente podría causar un accidente o reiniciar el sistema debido a un sobrecalentamiento, o podría identificar erróneamente software normal, como si se tratase de malware, y acabar con él, pero dijo que el equipo está "razonablemente seguro" de que hace más bien que mal.

"Una gran cantidad de ejemplares de malware copian sus datos de acceso y cualquier otra cosa que puedan encontrar, contraseñas, números de teléfono y más. Algunos malware supervisan el tráfico de internet y de nuevo buscan contraseñas y otros datos sensibles. Algunos cifran archivos en sus dispositivos NAS y solicitan dinero sobre la esperanza de que usted acceda a los datos de nuevo", escribió Team White. "No hacemos nada de esta clase, y por suerte, eso es algo en lo que coinciden Symantec y otros. También monitoreamos cuidadosamente nuestros nodos en busca de problemas, lo que es posible para nosotros, pero no suele ser posible para el malware típico. No creemos que el acto de infectar un dispositivo temporalmente y eliminar el malware obvio cause un daño real, y eso es básicamente lo que hacemos".

Monsegur dijo que el acto de difusión del software por sí mismo podría conducir a consecuencias no deseadas.

"Su código está infectando máquinas sin permiso, y parece que se propaga, utilizando sus dispositivos. ¿Qué pasa si su dispositivo infectado escanea una red altamente sensible?" preguntó Monsegur. "Existe la posibilidad de consecuencias jurídicas, sin mencionar que no todo el código ha sido examinado, lo que significa la posibilidad de que malos actores se aprovechen de estos dispositivos infectados de nuevo."

Aunque el grupo tiene el objetivo de hacer el bien al endurecer la seguridad en los dispositivos vulnerables, Team White no quiere que la gente confíe solo en ellos, sino que quiere ver que la gente tome más en serio la seguridad y asuma la responsabilidad de los dispositivos inseguros. Al final, el equipo confía en que ha hecho más bien que mal.

"Aunque no sabemos si, ni cuántos, casos de robo de información se han visto frustrados por Wifatch, sabemos que no añadimos ninguno", escribió Team White. "Por supuesto, la seguridad completa no existe en la realidad, pero al menos hicimos nuestro mejor intento, lo que es claramente mejor que lo que los fabricantes de estos dispositivos han hecho para protegerlos, y a diferencia de nosotros, ellos reciben una paga por ello."

Investigue más sobre Protección de datos empresarial

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close