Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Server Linux ed IoT, insieme in una nuova botnet

di · Pubblicato · Aggiornato

botnet

Che oramai noi utilizzatori del pinguino non siamo più al sicuro da attacchi vari di malware non è più una novità, quasi ogni giorno escono vulnerabilità e software che le sfruttano.

E’ anche questo il caso di Gitpaste-12, un nuovo malware scoperto dai ricercatori del Juniper Threat Labs e chiamato così per l’uso che fa di GitHub e Pastebin per ospitare parti delle sue componenti. Grazie all’uso di ben 12 differenti metodi, il programma malevolo in questione tenta di insediarsi in sistemi Linux x86, di cui fan parte prevalentemente server, così come sistemi Linux ARM e MIPS, cuore di molti dispositivi IoT (Internet Of Things).

Dopo aver avuto accesso a questi dispositivi sfruttando 11 vulnerabilità note sia a livello di prodotti (Asus, Huawei, router Netlink), che a livello di software (MongoDB e Apache Struts), che a livello di mero tentativo di bruteforce di username e password, Gitpaste-12 scarica script da Pastebin per fornire i comandi che gli permettono di scaricare altre istruzioni da un repository GitHub, con lo scopo principale di disattivare i sistemi di difesa come firewall e software di monitoraggio che, altrimenti, segnalerebbero l’attività malevola.

Le 11 vulnerabilità sfruttate dal malware sono le seguenti:

  • CVE-2017-14135: Webadmin plugin for opendreambox
  • CVE-2020-24217: HiSilicon based IPTV/H.264/H.265 video encoders
  • CVE-2017-5638: Apache Struts
  • CVE-2020-10987: Tenda router
  • CVE-2014-8361: Miniigd SOAP service in Realtek SDK
  • CVE-2020-15893: UPnP in dlink routers
  • CVE-2013-5948: Asus routers
  • EDB-ID: 48225: Netlink GPON Router
  • EDB-ID: 40500: AVTECH IP Camera
  • CVE-2019-10758: MongoDB
  • CVE-2017-17215: Huawei router

Come se non bastasse lo stesso software contiene anche i comandi per disabilitare i servizi di sicurezza di molti servizi cloud cinesi, tra cui Alibaba Cloud e Tencent, cosa che fa pensare a questo malware come ad un primo passo per un’operazione molto più grande.

Seppur alla fine il sistema ha capacità di cryptomining, per cui sicuramente viene utilizzato dagli attaccanti per sfruttare le capacità computazionali dei dispositivi violati al fine di ottenere cryptomoneta Monero, l’idea dei ricercatori è che questo sia solo un “contorno” in attesa che la botnet sia definitivamente pronta, anche se al momento non è ancora chiaro quale possa essere il “bersaglio” finale.

Già perchè questo malware ha le caratteristiche di un worm: una volta infettato un dispositivo, ha tutto il necessario per cercare di infettare altri dispositivi all’interno della stessa rete, andando ad ampliare la rete di dispositivi compromessi.

Certo, dopo l’uscita dell’analisi del team Juniper sia la URL Pastebin che il repository GitHub sono stati disattivati e rimossi, ma il malware in questione è ancora sotto pesante sviluppo, quindi se questa operazione può aver rallentato la diffusione della botnet, è molto probabile che gli sviluppatori trovino altre vie per ripristinarne il funzionamento.

Il consiglio dei ricercatori è il solito: installare le ultime patch e non usare le password di default nei vostri dispositivi intelligenti. Ma non solo, occorre anche assicurarsi di utilizzarne di sufficientemente complesse a causa delle capacità di bruteforcing affiancate allo sfruttamento delle vulnerabilità.

E quindi? Aggiornate, aggiornate, aggiornate, e cambiate le password.

d0caecc66eb9fa2e20782989a72ef868?s=150&d=mp&r=g

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Fonte: https://www.miamammausalinux.org/2020/11/server-linux-ed-iot-insieme-in-una-nuova-botnet/

Visited 1 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.