Raspberry Pi presi di mira da nuova campagna malware: meglio cambiare la password

Raspberry Pi presi di mira da nuova campagna malware: meglio cambiare la password

Una nuova campagna malware ha preso di mira i Raspberry Pi trasformandoli in sistemi per il mining di criptovalute. Per proteggersi basta cambiare la password di default

di pubblicata il , alle 17:21 nel canale Sicurezza
 

È stato scoperto un nuovo ceppo di malware che punta dritto ai dispositivi Raspberry Pi, nel tentativo di trasformarli in dispositivi per il mining di criptovalute a favore dell'aggressore che ha intentato l'attacco. Il nuovo malware viene conosciuto come Linux.MuIDrop.14 e infetta i piccoli sistemi connessi ad internet se il proprietario ha lasciato incautamente nome utente e password di default all'interno del tipico account "pi" per l'accesso al sistema operativo.

In questo caso l'autore del malware può compromettere la sicurezza del sistema, installare i software ZMap e sshpass e iniziare a suo esclusivo beneficio il mining della valuta virtuale. Per proteggersi da questo eventuale rischio è necessario, nella massima semplicità, modificare i parametri di default per l'accesso all'account admin di Raspberry Pi, una pratica che dovrebbe in ogni caso essere effettuata e che di solito gli utenti più esperti compiono.

Come abbiamo visto nel corso degli anni, lasciare le impostazioni di default non è mai un'opzione sicura per un dispositivo connesso ad internet, e in passato si sarebbero potute evitare parecchie infezioni su larga scala (soprattutto su router e gadget IoT) semplicemente modificando i parametri di accesso di default. Il nuovo malware è stato avvistato originariamente dal produttore di antivirus russo Dr. Web nella prima metà del mese di maggio sotto forma di uno script.

Nello specifico l'infezione colpisce i dispositivi con porte SSH aperte a connessioni esterne e modifica subito la password originale per l'account "pi" con una nuova e ben più complessa. Il malware sospende quindi diversi processi, installa alcune librerie e i software di cui parlavamo sopra: ZMap serve per scansionare la rete in modo da trovare altri dispositivi con porte SSH aperte da poter essere attaccati, cercando poi di accedere al sistema con le credenziali di default.

L'hardware di un Raspberry Pi non basta per effettuare un mining soddisfacente, ma creando una botnet composta da numerosi computer è possibile generare qualche profitto.

Giugno potrebbe essere un mese molto caldo per le diffusioni dei malware: Shadow Brokers ha promesso che venderà agli interessati una serie di strumenti per l'hacking utilizzati dalla NSA capaci di infettare diversi sistemi, a partire da router e smartphone, fino ad arrivare ai PC Windows 10. Spesso, però, come nel caso del nuovo Linux.MuIDrop.14, è sufficiente seguire le regole basilari per rimanere protetti: aggiornare il proprio sistema operativo e tutti i sistemi di sicurezza è importante, ma cambiare le password di default dovrebbe essere una procedura di base.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta pi interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
YetAnotherNewBie15 Giugno 2017, 17:42 #1

Meglio disabilitare le password

Come per tutti i server SSH, meglio abilitare la sola autenticazione mediante chiavi RSA e disabilitare quella con password.

Meglio scegliere dei nomi utente che non siano i soliti User, Admin, e così via.

Meglio anche cambiare il numero di default della porta SSH.
mally15 Giugno 2017, 17:49 #2
basta solo cambiare la password, questi attacchi vanno fatti da bot in cerca di polli...
claudegps15 Giugno 2017, 21:29 #3
tipico account "pi" per l'accesso al sistema operativo.
Mi sono perso qualcosa....?
Quale sistema operativo?
Timewolf16 Giugno 2017, 00:56 #4
Non ho mai capito perché in qualsiasi os non si renda obbligatorio il cambio pwd amministrativa alla prima accensione.
floc16 Giugno 2017, 02:17 #5
Originariamente inviato da: claudegps
tipico account "pi" per l'accesso al sistema operativo.
Mi sono perso qualcosa....?
Quale sistema operativo?


raspbian
benderchetioffender16 Giugno 2017, 08:29 #6
Originariamente inviato da: Timewolf
Non ho mai capito perché in qualsiasi os non si renda obbligatorio il cambio pwd amministrativa alla prima accensione.


Ma dove?
A me pare che tutti gli os chiedano una password al primo avvio...e onestamente non l'ho mai trovata su un foglietto in caso di prodotto gia pronto
Cambio de che che l'hai decisa tu al primo avvio...
TheMonzOne16 Giugno 2017, 08:56 #7
Non tutti, purtroppo. Almeno non tutti quelli che si installano solitamente sui Raspberry:
https://www.raspberrypi.org/documen.../usage/users.md
When logged in as the pi user, you can change your password with the passwd command.
Tradotto: la PUOI cambiare, non la DEVI cambiare.

E Raspbian è solo uno dei SO "user friendly" che si installano sui Raspberry e che sono solitamente "pronti all'uso"

https://discourse.osmc.tv/t/usernam...ord-for-ssh/589
f0rest16 Giugno 2017, 19:03 #8
Su raspbian (e anche su noob credo) l'ssh è disabilitato di default. Se lo abiliti senza cambiare la pass, e apri la porta ssh del router, beh, impari presto la lezione
Timewolf16 Giugno 2017, 23:48 #9
Originariamente inviato da: benderchetioffender
Ma dove?
A me pare che tutti gli os chiedano una password al primo avvio...e onestamente non l'ho mai trovata su un foglietto in caso di prodotto gia pronto
Cambio de che che l'hai decisa tu al primo avvio...


ci sono decine di OS su sistemi raspberry, dreamplug, sheevaplug e molti altri che hanno ssh abilitato e password di root che e' standard.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^