Qualche tempo fa abbiamo parlato di Satori, una botnet trovata attiva su oltre 280.000 IP diversi: origina da Satori una variante del già arcinoto malware DDoS Mirai (ne avevamo parlato qui). Il malware Satori-Mirai infettava i router Huawei, sui quali l'attaccante (o gli attaccanti) aveva individuato una vulnerabilità zero day. Ora però il problema è stato risolto.
Come funzionava Satori
Satori, individuato ai primi di Dicembre, usava una tecnica molto simile a quella usata da Mirai per attaccare i router: il malware eseguiva uno scanning sulle porte 37215 e 52869, afflitte da due diverse vulnerabilità.
La prima, che agisce sulla porta 37215, è la famosa zero-day (CVE-2017-17215) che colpisce i router Huawei. La seconda, che agisce sulla porta 52869, è invece ben nota agli esperti di sicurezza ed è un bug (nel dettaglio CVE-2014-8361) dei dispositivi Realteck SDK e D-Link. Tramite queste vulnerabilità Satori prendeva possesso del dispositivo e lo rendeva nodo della botnet. Oltre a ciò cominciava immediatamente a cercare altri bersagli vulnerabili per attaccarli. A questo si deve l'ampia estensione della botnet.
Problema risolto!
La vulnerabilità CVE-2017-17215 colpisce solo router Huawei HG532, usati in tutto il mondo e anche in Italia, da alcuni provider come Infostrada-Wind. La falla riguarda l'implementazione dello standard TR-064 necessario per le configurazioni in remoto a livello di rete locale: nei router Huawei tale servizio è accessibile tramite la porta 37215 e consente, in sunto, di aggiornare il firmware da remoto. Questa è la "via di accesso": ottenuto l'accesso il router diviene un nodo della botnet.
Il problema è stato risolto da due parti:
- sono stati individuati e messi offline tutti i server di Command e Control legati alla botnet;
- Huawei ha risolto la vulnerabilità, come si legge in questo bollettino di sicurezza
3 le indicazioni di Huawei per gli utenti:
- configurare la funzione firewall integrata nel router;
- modificare la password di default del router;
- occorre implementare un firewall dal lato della società che fornisce l'accesso alle reti.
I clienti possono scaricare il firewall Huawei NGFWs (Next Generation Firewall), fare l'upgrade del database delle firme IPS all'ultima versione IPS_H20011000_2017120100 rilasciata il 1 Dicembre utile a individuare le vulnerabilità e difendersi dagli exploit delle stesse.
Chi c'era dietro a Satori?
Qui viene il dato interessante. I ricercatori di Check Point sono riusciti ad abbattere i server C&C dopo aver indivudato il responsabile. Ora, considerando che quando Satori è stata abbattuta contava tra i 500.000 e gli 700.000 dispositivi infettati, verrebbe da pensare ad un gruppo/singolo ben collaudato ed esperto capace di creare un malware ad alto impatto.
Ecco, niente di tutto ciò: il responsabile è stato rintracciato, col nickname Nexus Zeta, su alcuni forum per hacker in erba. Più volte l'utente ha chiesto consigli su come impostare una botnet "simile a Mirai". I ricercatori di CheckPoint lo hanno rintracciato tramite la mail usata per registrare uno dei domini usati per i server C&C (nexuszeta1337@gmail.com).
Ecco, niente di tutto ciò: il responsabile è stato rintracciato, col nickname Nexus Zeta, su alcuni forum per hacker in erba. Più volte l'utente ha chiesto consigli su come impostare una botnet "simile a Mirai". I ricercatori di CheckPoint lo hanno rintracciato tramite la mail usata per registrare uno dei domini usati per i server C&C (nexuszeta1337@gmail.com).
Il punto è questo: la sicurezza dei dispositivi IoT è talmente poco considerata che perfino un "hacker in erba" riesce a costruire la prorpia botnet personale da centinaia di migliaia di dispositivi.
Un dato interessante da tenere in considerazione per questo 2018 che non si preannuncia per nulla facile.
Nessun commento:
Posta un commento