Abbattuta la botnet Satori. Sfruttava uno zero-day nei router Huawei

Sembra si trattasse di un principiante, che però era riuscito a mettere le mani su una vulnerabilità zero-day dei router Huawei che gli aveva consentito di infettare centinaia di migliaia di dispositivi e controllarli a distanza creando una botnet potenzialmente devastante.

L’autore di Satori, il worm individuato all’inizio di dicembre, sfruttava una tecnica molto simile a quella usata da Mirai per attaccare i router.

Come spiegano i ricercatori di Check Point in un report pubblicato online in questi giorni, la vulnerabilità sfruttata per propagare il malware (CVE-2017-17215) colpisce solo i router Huawei HG532, usati anche in Italia da alcuni fornitori di connessione Internet come Infostrada-Wind.

La falla di sicurezza riguarda l’implementazione dello standard TR-064, utilizzato per eseguire configurazioni in remoto a livello di rete locale. Nei dispositivi Huawei, però, il servizio è accessibile attraverso la porta 37215 e consente, in pratica, di avviare un aggiornamento del firmware in remoto.

Lo scopo del malware è quello di trasformare il router in un bot in grado di portare attacchi DDoS a bersagli che vengono selezionati attraverso il server Command and Control. Insomma: nulla di nuovo rispetto al “vecchio” Mirai.

La vera sorpresa, scrivono i ricercatori di Check Point, è arrivata quando sono riusciti a individuare l’autore del malware. Dopo settimane in cui le speculazioni erano arrivate a tirare in ballo gruppi ultra-professionali legati a servizi segreti (l’uso di uno zero-day non è cosa di tutti i giorni) è invece saltato fuori che l’autore di Satori è un principiante, che stava muovendo i suoi primi passi nel magico mondo del cyber-crimine.

Gli analisti lo hanno individuato come Nexus Zeta (il nickname usato su alcuni forum per aspiranti hacker) e dal materiale raccolto non sembra essere precisamente un professionista.

Per capirlo basta considerare il fatto che i ricercatori di Check Point sono riusciti a individuarlo partendo dall’indirizzo email usato per registrare uno dei domini utilizzati per i server Command and Control ([email protected]) con lo stesso nome che usava sia sui forum, sia su alcuni social network.

Ora la botnet è stata “abbattuta” mettendo offline i principali server Command and Control e avviando (tramite Huawei) un processo di aggiornamento che elimina la vulnerabilità.

Stando a quanto riportano alcuni ricercatori, al momento dello shut down Satori era composta da un numero impressionante di bot: tra i 500.000 e i 700.000.