Secondo i ricercatori del team di sicurezza informatica Unit 42 di Palo Alto Network, una nuova variante di Mirai, la botnet malware utilizzata per lanciare massicci attacchi DDoS, ha preso di mira i dispositivi IoT collegati a server Linux. 13 vulnerabilità.
Una volta che i dispositivi vulnerabili sono compromessi dalla variante nota come V3G4, possono essere completamente controllati dall'aggressore e diventare parte di una botnet che può essere utilizzata per condurre ulteriori attività, compresi gli attacchi DDoS.
“La complessità dell'attacco di queste vulnerabilità è inferiore rispetto alle varianti osservate in precedenza, ma hanno comunque serie implicazioni per la sicurezza che potrebbero portare all'esecuzione di codice remoto”, ha dichiarato Unit 42 nel suo rapporto sulle nuove varianti.
[Avanzate nella vostra carriera con le migliori certificazioni di sicurezza: Cosa fanno, quanto costano e cosa serve. | Iscriviti alla newsletter di CSO. ]
L'Unità 42 ha dichiarato che l'attività V3G4 è stata osservata in tre eventi tra luglio e dicembre dello scorso anno.
Lenovo Lnit2 E3-automazione Filmato completo Conform-3 Hq Mp4 1280x720p
25 minuti e 0 secondi, 14 secondi di volume di trading 0%
Secondo i ricercatori, tutte e tre le campagne sembrano essere legate alla stessa variante e alla botnet Mirai per diversi motivi. Hanno notato che i domini con infrastruttura di comando e controllo (C2) hard-coded utilizzati per mantenere le comunicazioni con i dispositivi infetti contengono lo stesso formato di stringa. Inoltre, gli script di shell vengono scaricati in modo simile e tutti gli attacchi utilizzano la stessa funzionalità di botnet.
Code 42 ha dichiarato che gli attori delle minacce che hanno distribuito V3G4 hanno sfruttato vulnerabilità che potrebbero portare all'esecuzione di codice remoto. Una volta eseguito, il malware ha la funzionalità di verificare se il dispositivo host è stato infettato. Se è già infetto, esce dal dispositivo. Inoltre, tenta di disabilitare una serie di processi da un elenco codificato che include altre famiglie di malware botnet concorrenti.
Come funziona la variante V2G4 di Mirai
I ricercatori hanno notato che mentre la maggior parte delle varianti di Mirai utilizza la stessa chiave per la crittografia delle stringhe, la variante V3G4 utilizza diverse chiavi di crittografia XOR per diversi scenari (XOR è un'operazione logica booleana spesso utilizzata nella crittografia). V3G4 confeziona una serie di credenziali di accesso predefinite o deboli per eseguire attacchi di forza bruta tramite i protocolli di rete Telnet e SSH e propagarsi ad altri computer. L'Unità 42 ha dichiarato che dopo questo, stabilisce un contatto con il server C2 e attende di ricevere i comandi per lanciare un attacco DDoS sull'obiettivo.
V3G4 ha sfruttato vulnerabilità, tra cui lo strumento di gestione FreePBX di Asterisk Communications Server (vulnerabilità CVE-2012-4869), Atlassian Confluence (CVE-2022-26134), lo strumento di gestione del sistema Webmin (CVE-2019-15107), il router DrayTek Vigor (CVE-2020-8515 e CVE-2020-15415) e il sistema di gestione Web C-Data (CVE-2022-4257).
Per un elenco completo delle vulnerabilità sfruttate osservate finora, per le raccomandazioni relative al software di cybersicurezza in grado di rilevare e prevenire le infezioni e per i frammenti di codice utilizzati come indicatori di compromissione, consultare l'avviso di Palo Alto. Il team dell'Unità 42 raccomanda inoltre di applicare patch e aggiornamenti per risolvere le vulnerabilità ogni volta che è possibile.
Come si è sviluppata la botnet Mirai
Negli ultimi anni, Mirai ha cercato di espandere la sua portata nella SD-WAN, prendendo di mira i sistemi di videoconferenza aziendali e utilizzando Original Linux per infettare più piattaforme.
La botnet Mirai è un'iterazione di una serie di pacchetti di malware sviluppati da Paras Jha, studente della Rutgers University. Jha l'ha pubblicata online con il nome di “Anna-Senpai” e l'ha chiamata Mirai (in giapponese significa “futuro”). La rete bot racchiude alcune tecniche intelligenti, tra cui una serie di password codificate.
Nel dicembre 2016, Jha e i suoi collaboratori si sono dichiarati colpevoli di reati legati agli attacchi Mirai. Ma a quel punto il codice era già in circolazione e veniva utilizzato come elemento costitutivo per ulteriori controllori di botnet.
Ciò significa che chiunque può utilizzarlo per cercare di infettare i dispositivi IoT e lanciare attacchi DDoS, oppure vendere la capacità al miglior offerente. Molti criminali informatici lo stanno già facendo o stanno modificando e migliorando il loro codice per renderlo più difficile da colpire.
La prima ondata di attacchi Mirai è apparsa il 19 settembre 2016, prendendo di mira l'host francese OVH. Mirai è stato anche responsabile di un attacco DDoS del 2016 al provider DNS Dyn, che ha coinvolto circa 100.000 dispositivi infetti. Di conseguenza, le principali piattaforme e servizi Internet non sono disponibili per gli utenti in Europa e Nord America.