Nuova botnet bersaglia dispositivi IoT e server Linux
Kaiji è un nuovo malware di matrice cinese per la creazione e l'ampliamento di botnet. Lo sviluppo non è terminato, in futuro potrebbe diventare insidiosa.
Un nuovo malware di matrice cinese è stato sviluppato appositamente per infettare server basati su Linux e dispositivi IoT, quindi usarli per lanciare attacchi DDoS. A scoprirlo sono stati i ricercatori di Intezer, che l'anno soprannominato Kaiji.
La particolarità di questa nuova minaccia è che è scritta nel linguaggio di programmazione Golang. Una rarità in quest'ambito, dove la stragrande maggioranza dei malware IoT è scritta in linguaggio C o C ++. Non solo. In genere i nuovi malware sono frutto di codici già presenti online, riadattati o mixati a seconda delle necessità criminali. È raro che un cyber criminale si prenda la briga di scrivere da zero il codice di un malware, a maggior ragione di una botnet. Ma è quello che è accaduto con Kaiji.
La diffusione di Kaiji avviene mediante attacchi brute force contro dispositivi IoT e server Linux che hanno la porta SSH esposta su Internet. La cattiva notizia è che è già attivo in tutto il mondo. Quella buona è che non è in grado di utilizzare exploit per infettare dispositivi senza patch. Almeno nella versione attuale.
Attualmente, la botnet prende di mira solo l'account "root". Il motivo è che necessita dell'accesso root ai dispositivi infetti per manipolare i pacchetti di rete grezzi e usarli per sferrare attacchi DDoS e altre operazioni. Una volta ottenuto l'accesso all'account root di un dispositivo, Kaiji lo usa in tre modi. Prima di tutto per gli attacchi DDoS. Poi per condurre altri attacchi brute force contro altri dispositivi. Terzo, per rubare qualsiasi chiave SSH locale e diffondersi ad altri dispositivi gestiti dall'account root.
Secondo i ricercatori questa botnet è tuttora in fase di sviluppo. Gli esperti hanno notato che mancano funzioni presenti nelle botnet più affermate. Inoltre, nel codice è presente una stringa "demo". Il modulo rootkit esaurisce spesso la memoria del dispositivo, causando un arresto anomalo. E i server di comando e controllo di Kaiji spesso vanno offline, lasciando i dispositivi infetti esposti al dirottamento di altre botnet.
Non è detto che i numerosi limiti attuali non possano essere superati in futuro. Allo stato attuale Kaiji non sembra una minaccia. Ma non significa che non lo sarà in futuro. I ricercatori ne stanno monitorando l'evoluzione.
La particolarità di questa nuova minaccia è che è scritta nel linguaggio di programmazione Golang. Una rarità in quest'ambito, dove la stragrande maggioranza dei malware IoT è scritta in linguaggio C o C ++. Non solo. In genere i nuovi malware sono frutto di codici già presenti online, riadattati o mixati a seconda delle necessità criminali. È raro che un cyber criminale si prenda la briga di scrivere da zero il codice di un malware, a maggior ragione di una botnet. Ma è quello che è accaduto con Kaiji.
La diffusione di Kaiji avviene mediante attacchi brute force contro dispositivi IoT e server Linux che hanno la porta SSH esposta su Internet. La cattiva notizia è che è già attivo in tutto il mondo. Quella buona è che non è in grado di utilizzare exploit per infettare dispositivi senza patch. Almeno nella versione attuale.Attualmente, la botnet prende di mira solo l'account "root". Il motivo è che necessita dell'accesso root ai dispositivi infetti per manipolare i pacchetti di rete grezzi e usarli per sferrare attacchi DDoS e altre operazioni. Una volta ottenuto l'accesso all'account root di un dispositivo, Kaiji lo usa in tre modi. Prima di tutto per gli attacchi DDoS. Poi per condurre altri attacchi brute force contro altri dispositivi. Terzo, per rubare qualsiasi chiave SSH locale e diffondersi ad altri dispositivi gestiti dall'account root.
Secondo i ricercatori questa botnet è tuttora in fase di sviluppo. Gli esperti hanno notato che mancano funzioni presenti nelle botnet più affermate. Inoltre, nel codice è presente una stringa "demo". Il modulo rootkit esaurisce spesso la memoria del dispositivo, causando un arresto anomalo. E i server di comando e controllo di Kaiji spesso vanno offline, lasciando i dispositivi infetti esposti al dirottamento di altre botnet.Non è detto che i numerosi limiti attuali non possano essere superati in futuro. Allo stato attuale Kaiji non sembra una minaccia. Ma non significa che non lo sarà in futuro. I ricercatori ne stanno monitorando l'evoluzione.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
