E' stata individuata una nuova botnet, che colpisce attivamente dispositivi IoT tramite un payload compilato per funzionare su una decina di diverse architetture CPU: è pensata per lanciare diverse tipologie di attacchi DDoS e diffondere diverse famiglie di malware. Dark Nexus è il nome i ricercatori hanno dato alla nuova botnet, protagonista di un processo di sviluppo molto veloce, almeno questo indicano le analisi effettuate dal momento dell'individuazione ad ora.
Sono state individuate circa 40 differenti versioni, contenenti nuove funzionalità e miglioramenti e tutto questo nell'arco temporale tra Dicembre 2019 e Marzo 2020. Analizzando il codice, dato il nome del codice binario e alcune stringhe che vi sono contenute, si ritiene che la botnet abbia origine greca: sospettato numero uno greek.Helios, conosciuto sviluppatore di botnet che pubblicizza e vende servizi DDoS e botnet dal 2017.
Qualche dettaglio tecnico
I dispositivi bersagliati dal malware di Dark Nexus sono una vasta gamma, da modelli di router Dasan Zhone, Dlink e Asus a camere termiche e video registratori. Per cercare dispositivi IoT da attaccare e per segnalare i nuovi bot aggiunti, Dark Nexus usa scanner Telnet sincroni (invio dei payload) e asincroni (invio delle credenziali al server di comando e controllo). Accede quindi ai dispositivi individuati con la scansione sia tramite credential stuffing (cioè usando liste di credenziali già sottratte in attacchi di brute-forcing) sia tramite vari exploit di vulnerabilità note di molteplici dispositivi, molti dei quali router.
Utilizza un sistema di ponderazioni e soglie per stabilire la pericolosità dei processi in esecuzione sui dispositivi compromessi e disponde di un modulo "killer" per arrestare automaticamente quei processi che sembrano troppo pericolosi: è dotato di una whitelist che contiene una lista dei processi sicuri generati quando ha infettato il dispositivo. Per ottenere la persistenza, non usa tecniche già viste in altre botnet: rimuove invece i permessi dagli eseguibili usati per riavviare i dispositivi infetti.
Utilizza un sistema di ponderazioni e soglie per stabilire la pericolosità dei processi in esecuzione sui dispositivi compromessi e disponde di un modulo "killer" per arrestare automaticamente quei processi che sembrano troppo pericolosi: è dotato di una whitelist che contiene una lista dei processi sicuri generati quando ha infettato il dispositivo. Per ottenere la persistenza, non usa tecniche già viste in altre botnet: rimuove invece i permessi dagli eseguibili usati per riavviare i dispositivi infetti.
Secondo gli indirizzi IP che hanno tentato attacchi e che risultano corrispondenti al vettore di attacco di Dark Nexus, i ricercatori di Bitdefender che hanno analizzato la botnet parlano di circa 1.372 bot, distribuiti prevalentemente tra Cina, Brasile, Corea del Sud e Tailandia. Tuttavia, date le potenzialità del malware, c'è da aspettarsi una rapidissima crescita del numero di bot in pochissimo tempo.
I tipi di attacchi DDoS
Le tipologie di attacchi DDoS che questa botnet può lanciare non differiscono molto da quelli in uso in altre botnet, ma c'è una variante supportata nella quale Dark Nexus può essere usata per mascherare il traffico dannoso lanciato sul bersaglio come innocuo traffico HTTP, imitando nei fatti il comune traffico del browser web.
Nessun commento:
Posta un commento