Un nuovo malware, altamente distruttivo, trasforma i dispositivi IoT in un esercito di “mattoncini” del tutto inutili

Attraverso i server honeypot allestiti da Radware, società specializzata in cyber-security, è stato individuato un nuovo malware, battezzato con il nome di BrickerBot; la “new entry” prende di mira esclusivamente i dispositivi IoT provvisti di sistema operativo Linux, con pacchetto BusyBox. I primi attacchi, affermano i ricercatori, hanno avuto inizio lo scorso 20 marzo.

Si sa che il malware in questione esiste, al momento, in due distinte versioni: BrickerBot.1 e BrickerBot.2; esso corrompe la memoria dei dispositivi sottoposti ad attacco, e compromette il funzionamento del kernel di sistema, riconfigurandone i parametri.

Nelle fasi iniziali dell’assalto informatico, entrambe le versioni “operano” nello stesso identico modo: in pratica, esse cercano di condurre un attacco brute-force di tipo dizionario nei confronti delle porte Telnet lasciate aperte; inoltre, al pari di Mirai, Hajime ed altre tipologie di malware IoT, BrickerBot si avvale di un elenco di credenziali di default ben conosciute, di cui viene fatto uso per vari dispositivi IoT. In caso di esito positivo dell’attacco condotto, BrickerBot esegue una serie di comandi Linux; in seguito, le due versioni del malware si comportano in maniera diversa, eseguendo comandi differenti l’una dall’altra. In ultima analisi, tuttavia, l’obiettivo perseguito da entrambe risulta essere assolutamente identico.

BrickerBot scrive bit casuali nella memoria del dispositivo; tale azione rende di fatto inutile il flash storage. Successivamente vengono disabilitati i timestamp TCP; in sostanza, pur mantenendo intatta la connettività Internet, viene impedito il corretto funzionamento della stessa. Nella fase seguente, il malware imposta su 1 il numero massimo di thread del kernel; una simile azione arresta, in pratica, tutte le operazioni eseguite a livello di kernel.

Dopo essere stato riavviato dal programma malevolo, il dispositivo IoT smette di funzionare e diviene, di fatto, un apparecchio del tutto inutile; tutto questo avviene soltanto dopo pochi secondi dal momento in cui si produce l’infezione. Attacchi del genere vengono definiti con l’espressione PDoS (Permanent Denial of Service), ovvero negazione di servizio permanente. I dati telemetrici raccolti attraverso le “trappole” allestite da Radware hanno evidenziato come, nell’arco di soli quattro giorni, siano stati rilevati ben 1.895 tentativi di attacco PDoS.

Per diffondersi, ognuna delle varianti di BrickerBot utilizza una propria infrastruttura: al momento attuale, gli attacchi portati attraverso BrickerBot.1 vengono lanciati tramite indirizzi IP situati un po’ in tutto il mondo; questi ultimi sembrano essere assegnati a dispositivi di rete Ubiquiti, sui quali viene eseguita una versione ormai obsoleta del server Dropbear SSH. Da parte sua, BrickerBot.2, la versione più avanzata e sofisticata del malware BrickerBot, è in grado di eseguire un numero di comandi nettamente superiore. Dal momento che gli indirizzi IP coinvolti nell’attacco risultano nascosti all’interno della rete anonima Tor, si rivela in pratica impossibile determinare l’effettiva origine di tali assalti. Per il momento, ad ogni caso, il numero degli attacchi PDoS eseguiti mediante l’impiego della versione più potente del programma malware si è dimostrato di molto inferiore (“solo” 333) rispetto all’analoga quantità rilevata riguardo a BrickerBot.1.

Secondo quanto asseriscono i ricercatori, la famiglia di software malevoli denominata BrickerBot rappresenta indubbiamente un capitolo del tutto nuovo nel panorama – già piuttosto ampio – del malware destinato alla sfera IoT. Di solito, i programmi dannosi destinati ai dispositivi IoT vengono utilizzati per la creazione di estese botnet, le quali, a loro volta, vengono impiegate per organizzare imponenti attacchi DDoS, del tipo di quello che ha colpito, alcuni mesi fa, tutta una serie di operatori e provider, in tutto il mondo. Ma la natura profondamente distruttiva di BrickerBot è davvero qualcosa di nuovo ed insolito: non è tuttavia ancora chiaro per quale preciso scopo possano servire, ad eventuali cybercriminali, le funzionalità possedute dal malware in causa, visto che i dispositivi sottoposti ad attacco vengono messi fuori uso e divengono, quindi, simili a tanti “mattoncini”… inutilizzabili.

È possibile che si tratti dell’opera di qualche hacktivista, riconducibile alla specifica categoria dei cosiddetti hacker “vigilanti”, il quale desidera semplicemente richiamare l’attenzione sul basso livello di protezione di cui sono provvisti i device IoT. Il lavoro portato avanti da questo ipotetico “combattente contro l’ingiustizia”, tuttavia, danneggia seriamente i dispositivi, anche se, a dir la verità, nella recente storia del malware, sono noti anche dei casi in cui si è verificato esattamente il contrario. Nel mese di ottobre del 2015, ad esempio, alcuni ricercatori avevano riferito riguardo ad un caso di hacktivismo del tutto opposto: il malware IoT denominato Linux.Wifatch, in effetti, andava letteralmente in cerca dei router privi di protezione, per poi correggere gli errori di configurazione in essi rilevati. Più tardi, il codice sorgente di tale “malware vigilante” era stato reso di pubblico dominio su GibHub.

Le motivazioni che animano gli autori di BrickerBot non risultano quindi chiare, ma le attività compiute da tale software possono rivelarsi davvero pericolose: come hanno sottolineato alcuni esperti, potrebbe essere ad esempio considerato a tutti gli effetti, “de iure”, un atto di aggressione il mettere fuori uso le telecamere di videosorveglianza installate sull’edificio dell’ambasciata di un paese estero.

Gli esperti, pertanto, una volta sottolineato come il messaggio inviato da coloro che hanno creato il temibile malware BrickerBot sia stato di sicuro recepito, hanno invitato questi ultimi a convogliare le proprie energie verso un indirizzo che si riveli creativo e costruttivo, e non distruttivo. Gli esponenti di Radware, da parte loro, si sono dichiarati disposti a lavorare assieme agli ignoti hacker, allo scopo di migliorare la delicata situazione riguardante l’effettivo grado di sicurezza dei dispositivi IoT.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *