I malware dell’IoT: dopo Mirai arriva Satori
- di
- in Consumatori
(PRIMAPRESS) - Satori, il presunto erede del famigerato malware dell’IoT Mirai, è stato scoperto dai ricercatori nel dicembre 2017. Il termine giapponese “satori” significa “illuminazione” o “comprensione”, sebbene l’evoluzione del malware che porta questo nome non sia improntata alla chiarezza. Ciascuna nuova versione si fonda su una combinazione inedita di piattaforme target, tecniche di propagazione e tipi di attacco. Rispetto ai software tradizionali, in cui le funzioni vengono aggiunte in maniera incrementale, Satori sembra essere al contempo all’avanguardia e obsoleto. È osservandone la storia che si può comprendere meglio questa minaccia in costante evoluzione.
Breve excursus storico sul malware dell’IoT. I titoli dei giornali dedicati a consistenti attacchi DDoS hanno attirato per la prima volta l’attenzione dell’opinione pubblica sulla sicurezza dell’IoT alla fine del 2016. Il malware in questione, denominato Mirai, a differenza della maggior parte delle minacce non andava a colpire Windows ma i punti deboli dei dispositivi IoT e di altri sistemi integrati. Questi dispositivi danno vita a grandi “zombie DDoS”, perché spesso sono dotati di una versione ridotta all’osso di Linux, sono collegati direttamente a Internet e possiedono soluzioni di sicurezza limitate.Mirai, e la schiera delle sue imitazioni, funziona sulla base di principi simili: Propagazione – I dispositivi infettati tentano di infettare altri dispositivi scelti casualmente. Mirai ha iniziato sfruttando normali accoppiate username/password tramite l’antiquato protocollo telnet. Le versioni più recenti, invece, per diffondersi si avvalgono delle vulnerabilità tipiche delle piattaforme, come i bug di command injection nell’interfaccia web dei router domestici. Command & Control – Una volta che l’infezione è in atto, oltre a propagarsi il bot accede periodicamente a un sito di comando e controllo per gli aggiornamenti e i comandi di attacco. Attacco – Quando il Command & Control impartisce l’ordine, i bot lanciano un flusso di traffico di attacchi coordinati rivolti alla vittima. Nello specifico, può trattarsi di un flusso di pacchetti TCP con appositi set di flag, pacchetti UDP, richieste HTTP oppure di altri attacchi più complessi. Satori. I ricercatori hanno scoperto per la prima volta Satori nel dicembre 2017 e da quel momento ne sono già state individuate altre versioni. La prima versione di Satori scoperta si differenziava da Mirai perché il metodo di propagazione adottato mirava a due vulnerabilità nei dispositivi dell’IoT: uno “zero-day” nel gateway locale di Huawei e una vulnerabilità già nota nell’esecuzione dei comandi nell’interfaccia UPNP SOAP di Realtek. In entrambi i casi il target era costituito da due tipi di dispositivi molto specifici, a differenza di Mirai che va a infettare qualsiasi dispositivo che presenti username e password telnet di default o facilmente indovinabili. Sebbene sia evidente che Satori abbia riutilizzato almeno in parte il codice Mirai pubblico, sono stati i suoi target così precisi ad attirare l’attenzione dei ricercatori.Il malware dell’IoT, Satori compreso, si abbatte su una vittima con un formato compilato e pronto all’uso. In altre parole, si tratta di un eseguibile Linux compilato appositamente per l’architettura della vittima predestinata. Ad esempio, un eseguibile compilato per processori x86 non può funzionare in un dispositivo ARM. Prima di sferrare il payload sia Mirai sia Satori mettono alla prova la vittima al fine di capire quale versione precompilata del binario Mirai scaricare ed eseguire. Satori ha alzato ulteriormente l’asticella introducendo nuove architetture: superh ed ARC. Non è chiaro se coloro che operano all’ombra di Satori lo abbiano fatto perché esiste una popolazione vulnerabile o soltanto perché speravano che ci fosse.Inoltre, la costante espansione del malware capace di sferrare attacchi DDoS contro processori con architetture diverse ribadisce ancora una volta la necessità che gli operatori di rete adottino BCP di rete. Benché Mirai abbia mostrato un’affinità nei confronti di telecamere IPTV e videoregistratori digitali con password deboli, gli aggressori informatici ricevono una taglia quando mirano a dispositivi ancora illesi. Dal momento che gli autori del malware si orientano su processori ARC e altri processori integrati, il malware capace di sferrare attacchi DDoS è in grado di stravolgere un bacino più ampio di dispositivi collegati a Internet quali telefoni, console di gioco e simili. Gli operatori di rete sono dunque costretti a rivedere le proprie strategie difensive in modo da proteggersi anche dai dispositivi interni ormai compromessi, come quelli che non possono essere individuati semplicemente seguendo un cavo. Il danno collaterale legato esclusivamente ad attività di scansione e di attacco DDoS in uscita può essere debilitante se non vengono implementate proattivamente le migliori pratiche correnti (BCP) dedicate alle operazioni e alle architetture di rete.
Conclusioni. Sebbene le conseguenze legate al malware dell’IoT siano evidenti, il panorama delle minacce è in costante evoluzione. Gli elementi più deboli, ossia username e password di default, sono già ampiamente oggetto di attacco; di conseguenza, gli aggressori cercano nuove vie di attacco, come ad esempio le vulnerabilità presenti nei dispositivi stessi. Questa svolta concretizza il presagio lanciato nel mondo da Mirai nel 2016: i dispositivi dell’IoT non sono sicuri e saranno violati. Prevediamo che i tre principi fondanti del malware dell’IoT (propagazione, Command & Control, e attacchi) restino invariati, ma che nel tempo diventino maggiormente sofisticati e si evolvano. - (PRIMAPRESS)
Breve excursus storico sul malware dell’IoT. I titoli dei giornali dedicati a consistenti attacchi DDoS hanno attirato per la prima volta l’attenzione dell’opinione pubblica sulla sicurezza dell’IoT alla fine del 2016. Il malware in questione, denominato Mirai, a differenza della maggior parte delle minacce non andava a colpire Windows ma i punti deboli dei dispositivi IoT e di altri sistemi integrati. Questi dispositivi danno vita a grandi “zombie DDoS”, perché spesso sono dotati di una versione ridotta all’osso di Linux, sono collegati direttamente a Internet e possiedono soluzioni di sicurezza limitate.Mirai, e la schiera delle sue imitazioni, funziona sulla base di principi simili: Propagazione – I dispositivi infettati tentano di infettare altri dispositivi scelti casualmente. Mirai ha iniziato sfruttando normali accoppiate username/password tramite l’antiquato protocollo telnet. Le versioni più recenti, invece, per diffondersi si avvalgono delle vulnerabilità tipiche delle piattaforme, come i bug di command injection nell’interfaccia web dei router domestici. Command & Control – Una volta che l’infezione è in atto, oltre a propagarsi il bot accede periodicamente a un sito di comando e controllo per gli aggiornamenti e i comandi di attacco. Attacco – Quando il Command & Control impartisce l’ordine, i bot lanciano un flusso di traffico di attacchi coordinati rivolti alla vittima. Nello specifico, può trattarsi di un flusso di pacchetti TCP con appositi set di flag, pacchetti UDP, richieste HTTP oppure di altri attacchi più complessi. Satori. I ricercatori hanno scoperto per la prima volta Satori nel dicembre 2017 e da quel momento ne sono già state individuate altre versioni. La prima versione di Satori scoperta si differenziava da Mirai perché il metodo di propagazione adottato mirava a due vulnerabilità nei dispositivi dell’IoT: uno “zero-day” nel gateway locale di Huawei e una vulnerabilità già nota nell’esecuzione dei comandi nell’interfaccia UPNP SOAP di Realtek. In entrambi i casi il target era costituito da due tipi di dispositivi molto specifici, a differenza di Mirai che va a infettare qualsiasi dispositivo che presenti username e password telnet di default o facilmente indovinabili. Sebbene sia evidente che Satori abbia riutilizzato almeno in parte il codice Mirai pubblico, sono stati i suoi target così precisi ad attirare l’attenzione dei ricercatori.Il malware dell’IoT, Satori compreso, si abbatte su una vittima con un formato compilato e pronto all’uso. In altre parole, si tratta di un eseguibile Linux compilato appositamente per l’architettura della vittima predestinata. Ad esempio, un eseguibile compilato per processori x86 non può funzionare in un dispositivo ARM. Prima di sferrare il payload sia Mirai sia Satori mettono alla prova la vittima al fine di capire quale versione precompilata del binario Mirai scaricare ed eseguire. Satori ha alzato ulteriormente l’asticella introducendo nuove architetture: superh ed ARC. Non è chiaro se coloro che operano all’ombra di Satori lo abbiano fatto perché esiste una popolazione vulnerabile o soltanto perché speravano che ci fosse.Inoltre, la costante espansione del malware capace di sferrare attacchi DDoS contro processori con architetture diverse ribadisce ancora una volta la necessità che gli operatori di rete adottino BCP di rete. Benché Mirai abbia mostrato un’affinità nei confronti di telecamere IPTV e videoregistratori digitali con password deboli, gli aggressori informatici ricevono una taglia quando mirano a dispositivi ancora illesi. Dal momento che gli autori del malware si orientano su processori ARC e altri processori integrati, il malware capace di sferrare attacchi DDoS è in grado di stravolgere un bacino più ampio di dispositivi collegati a Internet quali telefoni, console di gioco e simili. Gli operatori di rete sono dunque costretti a rivedere le proprie strategie difensive in modo da proteggersi anche dai dispositivi interni ormai compromessi, come quelli che non possono essere individuati semplicemente seguendo un cavo. Il danno collaterale legato esclusivamente ad attività di scansione e di attacco DDoS in uscita può essere debilitante se non vengono implementate proattivamente le migliori pratiche correnti (BCP) dedicate alle operazioni e alle architetture di rete.
Conclusioni. Sebbene le conseguenze legate al malware dell’IoT siano evidenti, il panorama delle minacce è in costante evoluzione. Gli elementi più deboli, ossia username e password di default, sono già ampiamente oggetto di attacco; di conseguenza, gli aggressori cercano nuove vie di attacco, come ad esempio le vulnerabilità presenti nei dispositivi stessi. Questa svolta concretizza il presagio lanciato nel mondo da Mirai nel 2016: i dispositivi dell’IoT non sono sicuri e saranno violati. Prevediamo che i tre principi fondanti del malware dell’IoT (propagazione, Command & Control, e attacchi) restino invariati, ma che nel tempo diventino maggiormente sofisticati e si evolvano. - (PRIMAPRESS)
TAGS
