Nuovo attacco botnet “mette altre botnet IoT alla vergogna”
Una nuova botnet distruttiva che compromette i dispositivi IoT (Internet of Things) vulnerabili e dirotta le loro risorse per eseguire devastanti attacchi DDoS (Distributed Denial of Service) è stata segnalata dalla società di ricerca sulla sicurezza Bitdefender. La botnet IoT, che la società ha chiamato “dark_nexus”, è stata recentemente trovata in natura e sta adottando nuovi approcci innovativi e pericolosi per attaccare con successo l’infrastruttura IT.
VEDI: Cybersecurity: Let’s get tactical (free PDF) (TechRepublic)
“La nostra analisi ha determinato che, sebbene dark_nexus riutilizzi alcuni codici Qbot e Mirai, i suoi moduli principali sono per lo più originali”, ha detto Bitdefender in un white paper di 22 pagine pubblicato l ‘ 8 aprile sugli attacchi, “La nuova botnet IoT dark_nexus mette gli altri alla vergogna.”Mentre alcune delle sue funzionalità possono essere condivise con botnet IoT precedentemente note, il modo in cui alcuni dei suoi moduli sono stati sviluppati rende dark_nexus significativamente più potente e robusto, afferma il rapporto.
“Ad esempio, i payload vengono compilati per 12 diverse architetture di CPU e consegnati dinamicamente in base alla configurazione della vittima”, utilizzando anche una tecnica destinata a garantire la “supremazia” sul dispositivo compromesso, secondo il rapporto. “In modo univoco, dark_nexus utilizza un sistema di punteggio basato su pesi e soglie per valutare quali processi potrebbero rappresentare un rischio. Ciò comporta il mantenimento di un elenco di processi whitelist e dei loro sistemi di rilevamento delle intrusioni perimetrali (PID) e l’uccisione di ogni altro processo che attraversa una soglia di sospetto.”
La botnet dark_nexus, che comprende almeno 1.352 bot, apparentemente è stata sviluppata da un noto autore di botnet che ha venduto servizi DDoS e codice botnet per anni online ad altri aggressori a scopo di lucro.
Bogdan Botezatu, direttore di threat research and reporting per Bitdefender, ha affermato che gli attacchi DDoS lanciati da questa botnet possono consentire agli aggressori di controllare i dispositivi dirottati chiedendo a tutti i dispositivi compromessi nella botnet di visitare contemporaneamente una pagina Web o un servizio Web, che può schiacciare quel server sotto il carico di lavoro.
“Le vittime non saranno nemmeno consapevoli che i loro dispositivi sono usati come armi contro obiettivi innocui su Internet, anche se i risultati potrebbero essere catastrofici per le vittime o per il corretto funzionamento di Internet”, ha detto Botezatu. “Caso in questione, in 2016, un gruppo di adolescenti ha utilizzato dispositivi IoT dirottati per lanciare un attacco devastante contro l’infrastruttura Internet principale che ha interrotto Internet negli Stati Uniti per circa un giorno, battendo le aziende Fortune 500 offline e causando perdite finanziarie impossibili da stimare.”
Gli attacchi DDoS possono essere lanciati contro server, servizi o reti per inondarli di traffico, eliminando le loro operazioni tipiche.
La botnet dark_nexus è stato promosso per la vendita su YouTube, con prezzi pubblicizzati a partire da circa $18.50 al mese per 2.500 secondi di tempo di avvio, ha detto. Per circa $99 al mese, gli aggressori possono acquistare accesso illimitato, rendendo la botnet accessibile a chiunque con skills 20 e competenze informatiche abbastanza di base per lanciare le proprie interruzioni.
“I botmaster IoT entrano in competizione diretta tra loro e guidano l’innovazione nel compromettere i dispositivi, mantenendo la persistenza e rimanendo competitivi sul mercato”, ha affermato Botezatu. “Hanno meccanismi di infezione migliori rispetto ai concorrenti, migliori tecniche di marketing e prezzi di noleggio più bassi, il che rende gli attacchi DDoS alla portata di tutti.”
Per combattere gli attacchi dalla botnet dark_nexus, i consumatori e le aziende devono costantemente controllare le loro reti interne per identificare i dispositivi IoT connessi ed eseguire valutazioni delle vulnerabilità per scoprire dispositivi senza patch o configurati male prima che gli aggressori lo facciano, Botezatu ha detto. “Poiché gli standard e le normative IoT sono probabilmente lontani anni, è il consumatore IoT che si assume la responsabilità della propria infrastruttura.”
Quella mancanza globale di standard di sicurezza IoT necessari, che indurirebbe i dispositivi IoT e li renderebbe meno vulnerabili agli attacchi, è un enorme fallimento nel settore e consente a questi tipi di attacchi botnet di avere successo e redditizio per gli hacker.
VEDERE: Protezione dell’IoT nell’organizzazione: 10 best practice (PDF gratuito) (TechRepublic)
Nel frattempo, tali attacchi possono essere fermati attraverso l’uso di appliance di sicurezza IoT in grado di indirizzare e difendere tali attacchi a livello di rete rilevando traffico anomalo, e attraverso l’uso di dispositivi continuamente patchati che immunizzano efficacemente i sistemi da intrusioni di successo, ha detto. Gli utenti possono anche proteggere i loro sistemi disabilitando le porte Telnet e SSH per impostazione predefinita.
“Sfortunatamente, poiché la maggior parte dei fornitori IoT vede la sicurezza informatica come un ripensamento, le botnet IoT continuano a prosperare, crescere e influire sulle organizzazioni, creando significative perdite di funzionamento e tempi di inattività”, ha affermato.
Le versioni precedenti del dark_nexus di circa 3 mesi usavano exploit per la propagazione, ma ora la botnet si propaga esclusivamente con la forza bruta usando il protocollo Telnet, Botezatu ha detto. “Questo è un frutto a bassa sospensione in quanto offre il maggior numero di violazioni con il minor costo e sforzo”, ha affermato.
VEDI: Attacchi di forza bruta e dizionario: Un cheat sheet (PDF gratuito) (TechRepublic)
Più del 50 per cento di questi bot sono originari della Cina, Corea, e Thailandia, Botezatu detto. “Questo elenco include alcune combinazioni non comuni che non avevamo mai visto in uso dai bot, il che, a nostro avviso, suggerisce che l’autore di dark_nexus abbia fatto qualche sforzo per compilarlo. La botnet non sembra indirizzare alcun intervallo IP in particolare, piuttosto, la funzione di generazione casuale opera utilizzando una lista nera simile a quella di Mirai.”
Vedi anche
- Come diventare un professionista della sicurezza informatica: Un foglietto (TechRepublic)
- Mastermind con l’uomo dietro di Catch Me If You Can parla di sicurezza informatica (TechRepublic download)
- Windows 10 sicurezza: Una guida per i dirigenti aziendali (TechRepublic Premium)
- Online sicurezza 101: Consigli per proteggere la vostra privacy da parte di hacker e spie (ZDNet)
- Tutte le VPN termini che è necessario conoscere (CNET)
- sicurezza informatica e cyberwar: Di più, assolutamente da leggere copertura (TechRepublic su Flipboard)
