L’autore di Satori,
il worm individuato all’inizio di dicembre, sfruttava una tecnica
molto simile a quella usata da Mirai per attaccare i router.
Come spiegano i ricercatori di Check Point in un report pubblicato
online in questi giorni, la vulnerabilità sfruttata per propagare il malware
(CVE-2017-17215) colpisce solo i router Huawei HG532,
usati anche in Italia da alcuni fornitori di connessione Internet come Infostrada-Wind.
La falla di sicurezza riguarda
l’implementazione dello standard TR-064,
utilizzato per eseguire configurazioni in remoto a livello di rete locale. Nei dispositivi Huawei, però, il servizio è accessibile attraverso
la porta 37215 e consente, in pratica, di avviare un aggiornamento del firmware
in remoto.
Lo scopo del malware è quello di trasformare
il router in un bot in grado di portare attacchi DDoS a
bersagli che vengono selezionati attraverso il server
Command and Control. Insomma: nulla di nuovo rispetto al
“vecchio” Mirai.
La vera sorpresa, scrivono i ricercatori di
Check Point, è arrivata quando sono riusciti a individuare l’autore del
malware. Dopo settimane in cui le speculazioni erano arrivate a tirare in ballo
gruppi ultra-professionali legati a servizi segreti (l’uso di uno zero-day non
è cosa di tutti i giorni) è invece saltato fuori che l’autore di Satori è un principiante, che stava muovendo i suoi
primi passi nel magico mondo del cyber-crimine.
Gli analisti lo hanno individuato come Nexus Zeta (il nickname usato su alcuni forum
per aspiranti hacker) e dal materiale raccolto non sembra essere precisamente
un professionista.
Per capirlo basta considerare il
fatto che i ricercatori di Check Point sono riusciti a individuarlo partendo dall’indirizzo email usato per registrare uno dei domini
utilizzati per i server Command and Control ([email protected])
con lo stesso nome che usava sia sui forum, sia su alcuni social network.
Ora la botnet è stata “abbattuta” mettendo
offline i principali server Command and Control e avviando (tramite Huawei) un
processo di aggiornamento che elimina la vulnerabilità.
Stando a quanto riportano alcuni ricercatori,
al momento dello shut down Satori era composta da un numero impressionante di
bot: tra i 500.000 e i 700.000.
Nessun commento:
Posta un commento