NoaBot, ecco la variante di Mirai che prende di mira dispositivi Linux per installa cryptominer

Nel corso dell'ultimo anno i dispositivi Linux connessi ad Internet sono stati presi di mira da un malware autoreplicante sconosciuto in precedenza che ha installato software di cryptomining che adotta misure insolite per nascondere il suo funzionamento.

Il malware è una versione modificata di Mirai, la famigerata minaccia che compromette server, router, webcam e altri dispositivi IoT basati su Linux per assoggettarli ad una botnet. Mirai è un malware venuto alla luce nel 2016 quando è stato usato per sferrare una serie attacchi DDoS che hanno avuto ripercussioni significative sul funzionamento di Internet.

Attività di NoaBot - Fonte: Akamai

Il codice sorgente di Mirai è stato da tempo rilasciato dai creatori del malware, consentendo così a chiunque di poter incorporare Mirai o parti di esso nelle proprie campagne. Il meccanismo di funzionamento di Mirai prevede la scansione della rete da parte di un dispositivo infetto per cercare altri dispositivi aperti a connessioni Telnet. Quando ne viene individuato uno, il malware prova a forzare l'accesso usando una coppia di credenziali predefinite o comunemente utilizzate: se il tentativo ha successo, prende il via un altro ciclo cercando altri dispositivi con la medesima tecnica.

Sono stati i ricercatori di Akamai a scoprire questa variante mai vista prima di Mirai, che hanno battezzato NoaBot. Rispetto al "papà", NoaBot prende di mira le password SSH deboli e invece di effettuare attacchi DDoS installa un software occulto per il mining di criptovalute permettendo all'attaccante di sfruttare le risorse computazionali delle vittime per guadagnare monete digitali.

Il fatto che NoaBot sia un derivato di Mirai e installi un cryptominer non rappresentano necessariamente due peculiarità particolari: ciò che distingue il malware da altre minacce simili è il modo in cui esso installa il cryptominer. Quando vengono installati questi strumenti generalmente le criptovalute raccolte vengono distribuiti su diversi wallet sulla base di quanto specificato nelle impostazioni di configurazione che sono scritte in una riga di comando inviata al dispositivo infetto. Si tratta di una modalità che rappresenta un rischio per gli attaccanti dato che permette ai ricercatori di monitorare dove sono ospitati i wallet e quanto denaro contengono.

NoaBot si comporta diversamente: le impostazioni di configurazione sono memorizzate in forma crittografata e vengono decifrate solo dopo che il cryptominer viene caricato in memoria. A questo punto NoaBot sostituisce la variabile interna che normalmente conterrebbe le impostazioni di configurazione della riga di comando e passa il controllo al codice sorgente del cryptominer.

Diffusione di NoaBot - Fonte: Akamai

Nel corso degli ultimi 12 mesi Akamai ha dislocato su Internet un cosiddetto "honeypot" per monitorare la diffusione e il comportamento di NoaBot. In questo periodo di tempo sono stati registrati attacchi provenienti da 849 indirizzi IP differenti e, come nel caso di Mirai, ogni dispositivo infetto cerca di comprometterne altri.

Gli 849 IP di origine distinti sono distribuiti in maniera abbastanza omogenea in tutto il mondo. I ricercatori di Akamai sottolineano che questo aspetto è abbastanza comune per i worm, che rendono ogni nuova vittima anche un nuovo aggressore. Tuttavia c'è un gruppo di indirizzi IP che ha origine in Cina e genera il 10% circa degli attacchi. Non è inoltre chiaro se NoaBot sia limitato ai dispositivi rilevati dall'honeypot o se la botnet abbia dimensioni maggiori.

I ricercatori di Akamai hanno realizzato un esauriente elenco di indicatori di compromissione che può aiutare a verificare l'eventuale presenza di NoaBot sui propri dispositivi, anche a fronte della difficoltà di rilevare il malware. NoaBot infatti è compilato usando la libreria di codici nota come UClibc, mentre lo standard Mirai utilizza la libreria GCC: questa caratteristica modifica il modo in cui le protezioni antivirus rilevano NoaBot che viene classificato come scanner SSH o trojan generico invece di essere riconosciuto come una variante di Mirai. Inoltre NoaBot viene eseguito da una cartella generata casualmente nella directory /lib, rendendo ancora più difficile la ricerca delle infezioni.

L'analisi tecnica completa è disponibile sul blog di Akamai, dove è possibile trovare ulteriori dettagli caratteristici di questo nuovo malware e lo strumento Infection Monkey a supporto delle attività di verifica e ricerca di compromissioni.