Gli esperti di Kaspersky Lab stanno analizzando il primo spreader basato su Windows per la diffusione del malware Mirai, come contributo nell’impegno congiunto per smantellare le botnet Mirai in circolazione.
Il bot Windows sembra essere stato creato da uno sviluppatore con competenze più avanzate rispetto a coloro che hanno lanciato gli attacchi DDoS di massa basati sulla botnet Mirai alla fine del 2016, un fatto che lascia preoccupanti indizi su utilizzo e obiettivi futuri degli attacchi basati su Mirai. È probabile che l’autore del malware sia di lingua cinese e, secondo i dati in possesso di Kaspersky Lab, nel 2017 si sono verificati attacchi su circa 500 sistemi unici. I mercati emergenti, che hanno fortemente investito nelle tecnologie connesse a Internet, potrebbero essere maggiormente a rischio.
La versione basata su Windows è più ricca e resistente rispetto al codebase originale di Mirai, ma la maggior parte di componenti, tecniche e funzionalità del nuovo spreader risalgono a diversi anni fa. La sua capacità di diffondere il malware Mirai è limitata: può diffondere i bot Mirai da host Windows infetti a un dispositivo IoT Linux vulnerabile solo con un attacco brute-force a una connessione telnet remota.
Nonostante questa limitazione, il codice è chiaramente opera di uno sviluppatore più esperto, sebbene sia probabilmente nuovo del mondo Mirai. Alcuni indizi, come la lingua usata nel software, il fatto che il codice sia stato scritto su un sistema cinese, i server host posizionati a Taiwan e l’abuso di certificati di firma del codice rubati ad aziende cinesi, suggeriscono che lo sviluppatore sia di lingua cinese.
“La possibilità di diffondere Mirai tra le piattaforme Linux e Windows è una reale preoccupazione, così come la comparsa sulla scena di sviluppatori più esperti. Il rilascio del codice sorgente del Trojan bancario Zeus nel 2011 ha comportato anni di problemi per la comunità online e il rilascio del codice sorgente del bot IoT Mirai nel 2016 avrà le stesse conseguenze. Hacker con maggiore esperienza, con competenze e tecniche sempre più sofisticate, stanno iniziando a sfruttare il codice Mirai liberamente disponibile. Una botnet Windows che diffonde bot IoT Mirai rappresenta una svolta e permette di diffondere Mirai su nuovi dispositivi e network che precedentemente non erano accessibili. Questo è solo l’inizio”, ha commentato Kurt Baumgartner, Principal Security Research di Kaspersky Lab.
Secondo i dati dell’indagine di Kaspersky Lab, nel 2017 sono stati attaccati dal bot Windows quasi 500 sistemi unici, considerando sia i tentativi rilevati che gli attacchi bloccati.
Sulla base della geolocalizzazione degli indirizzi IP coinvolti nella seconda fase di attacchi, i Paesi più vulnerabili sono i mercati emergenti che hanno fortemente investito nelle tecnologie connesse, come India, Vietnam, Arabia Saudita, Cina, Iran, Brasile, Marocco, Turchia, Malawi, Emirati Arabi Uniti, Pakistan, Tunisia, Russia, Moldavia, Venezuela, Filippine, Colombia, Romania, Perù, Egitto e Bangladesh.
Kaspersky Lab collabora con CERT, hosting provider e operatori di rete per affrontare questa minaccia crescente per l’infrastruttura Internet fermando numerosi server di comando e controllo. Un rapido smantellamento di questi server minimizza il rischio e i disagi comportati dalle crescenti botnet basate sui dispositivi IoT. Grazie alla sua esperienza e alle relazioni con CERT e provider in tutto il mondo, Kaspersky Lab ha permesso di accelerare questo processo.
Le soluzioni Kaspersky Lab rilevano e proteggono dai bot Windows e Mirai. I seguenti rilevamenti sono legati a questa indagine:
Trojan.Win32.SelfDel.ehlq
Trojan.Win32.Agentb.btlt
Trojan.Win32.Agentb.budb
Trojan.Win32.Zapchast.ajbs
Trojan.BAT.Starter.hj
Trojan-PSW.Win32.Agent.lsmj
Trojan-Downloader.Win32.Agent.hesn
Trojan-Downloader.Win32.Agent.silgjn
Backdoor.Win32.Agent.dpeu
HEUR:Trojan-Downloader.Linux.Gafgyt.b
DangerousPattern.Multi.Generic (UDS)