Attacchi Permanent Denial of Service dalle botnet BrickerBot

Attacchi Permanent Denial of Service dalle botnet BrickerBot

Individuate due botnet che prendono di mira dispositivi collegati alla rete e apparati IoT per bersagliarli con attacchi in grado di metterli fuori uso

di pubblicata il , alle 16:41 nel canale Sicurezza
 

Qualcuno si ricorderà di Mirai, il malware che nello scorso autunno aveva creato una botnet di IP Cam e DVR che aveva messo in ginocchio una buona parte della rete negli USA. In questi giorni i ricercatori della società di sicurezza Radware hanno pubblicato un rescoconto relativo ad un'ondata di attacchi verificatasi nelle scorse settimane e che prende di mira router, bridge e dispositivi IoT, che pur con qualche attinenza a quanto avvenuto lo scorso autunno, è caratterizzata da un'importante differenza: se Mirai puntava a mettere in piedi una botnet allo scopo di condurre attacchi DDoS con una elevatissima potenza di fuoco, la nuova ondata di attacchi riscontrata in questi giorni porta avanti attacchi PDoS, ovvero Permanent Denial-of-Service: i dispositivi presi di mira vengono messi definitivamente fuori uso.

Lo scorso mese i ricercatori hanno realizzato una rete honeypot esponendo sulla rete una serie di dispositivi potenzialmente vulnerabili, e hanno individuato nell'arco di quattro giorni circa 2250 tentativi di PDos. Gli attacchi provengono da due botnet separate, battezzate BrickerBot.1 e BrickerBot.2: la prima ha terminato apparentemente le proprie attività, ma BrickerBot.2 tenta di loggarsi su uno dei dispositivi esca di Radware una volta ogni due ore. Una volta che le botnet individuano un bersaglio vulnerabile, innescano una serie di comandi che hanno lo scopo di compromettere le funzionalità del dispositivo fino a renderlo inservibile. I dispositivi compromessi avevano tutti protocollo telnet abilitato e protetti da password di default.

I dispositivi presi di mira da BrickerBot.1 facevano uso del set di strumenti Unix BusyBox, esponendo una finestra shell sulla rete e con una vecchia versione del server SSH Dropbear. Dal 20 al 24 marzo BrickerBot.1 ha sfruttato nodi sparsi su tutta la rete per attaccare i dispositivi dell'honeypot di Radware 1895 volte. I dispositivi che hanno compiuto l'attacco sono stati identificati come access point e wireless bridge di Ubiquity Network, con ambenti operativi simili a quelli dei dispositivi presi di mira.

BrickerBot.2 ha invece avviato le proprie attività dopo circa un'ora dagli attacchi di BrickerBot.1. In questo caso i dispositivi bersagliati sono molto più variegati, e non necessariamente provvisti di BusyBox o Dropbear SSH. BrickerBot.2 utilizza inoltre servizi di anonimizzazione Tor per occultare l'indirizzo IP dei nodi. Anche in questo caso la compromissione è avvenuta verso dispositivi che espongono sulla rete telnet e sono protetti da una password di default. BrickerBot.2, in particolare, ha mostrato un comportamento più distruttivo rispetto alla botnet "sorella", impartendo comandi capaci di corrompere le eventuali unità di storage dei dispositivi colpiti, rimuovere i file stoccati, eliminare i gateway di default, disabilitare i timestamp TCP e limitare ad uno il numero massimo di thread del kernel.

Il comune denominatore dei dispositivi presi di mira da entrambe le botnet è che sono così scarsamente protetti dall'essere una preda troppo facile per Mirai o per qualsiasi altra botnet ad alto impatto. Questa osservazione alimenta una piccola ipotesi secondo la quale l'ondata di attacchi PDoS sia stata condotta da qualche "vigilante" della rete con l'obiettivo di mettere fuori gioco questi dispositivi prima che possano essere assoldati in una potente armata DDoS e minacciare seriamente il web per come lo conosciamo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan07 Aprile 2017, 16:50 #1
Delinqueste istituzionali o multinazionali che usano i servizi dei cracker.

Poi dov'è il confine? Anche un pc protetto potrebbe essere vittima di un attacco e finire in una botnet. Basta questo per essere attaccati dalle istituzioni e avere il pc fuori uso?
hhhhg08 Aprile 2017, 01:13 #2

che marca e modello sono questi router, bridge e dispositivi IoT

che marca e modello sono questi router, bridge e dispositivi IoT ????
pabloski08 Aprile 2017, 17:28 #3
Originariamente inviato da: hhhhg
che marca e modello sono questi router, bridge e dispositivi IoT ????


Ecco magari queste informazioni sarebbe sensato dare, invece di fare gli sceriffi col PDos.

E magari una bella tirata di orecchie ai produttori di questi gingilli, obbligandoli a fornire bugfix e/o aggiornamenti firmware. Ma sto chiedendo troppo...

mettere fuori gioco questi dispositivi prima che possano essere assoldati in una potente armata DDoS e minacciare seriamente il web per come lo conosciamo.


Mi sa che se quella e' la soluzione, allora mi sa che il web stavolta e' minacciato per davvero

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^