Nuova botnet bersaglia dispositivi IoT e server Linux
Kaiji è un nuovo malware di matrice cinese per la creazione e l'ampliamento di botnet. Lo sviluppo non è terminato, in futuro potrebbe diventare insidiosa.
Un nuovo malware di matrice cinese è stato sviluppato appositamente per infettare server basati su Linux e dispositivi IoT, quindi usarli per lanciare attacchi DDoS. A scoprirlo sono stati i ricercatori di Intezer, che l'anno soprannominato Kaiji.
La particolarità di questa nuova minaccia è che è scritta nel linguaggio di programmazione Golang. Una rarità in quest'ambito, dove la stragrande maggioranza dei malware IoT è scritta in linguaggio C o C ++. Non solo. In genere i nuovi malware sono frutto di codici già presenti online, riadattati o mixati a seconda delle necessità criminali. È raro che un cyber criminale si prenda la briga di scrivere da zero il codice di un malware, a maggior ragione di una botnet. Ma è quello che è accaduto con Kaiji.
La diffusione di Kaiji avviene mediante attacchi brute force contro dispositivi IoT e server Linux che hanno la porta SSH esposta su Internet. La cattiva notizia è che è già attivo in tutto il mondo. Quella buona è che non è in grado di utilizzare exploit per infettare dispositivi senza patch. Almeno nella versione attuale.
Attualmente, la botnet prende di mira solo l'account "root". Il motivo è che necessita dell'accesso root ai dispositivi infetti per manipolare i pacchetti di rete grezzi e usarli per sferrare attacchi DDoS e altre operazioni. Una volta ottenuto l'accesso all'account root di un dispositivo, Kaiji lo usa in tre modi. Prima di tutto per gli attacchi DDoS. Poi per condurre altri attacchi brute force contro altri dispositivi. Terzo, per rubare qualsiasi chiave SSH locale e diffondersi ad altri dispositivi gestiti dall'account root.
Secondo i ricercatori questa botnet è tuttora in fase di sviluppo. Gli esperti hanno notato che mancano funzioni presenti nelle botnet più affermate. Inoltre, nel codice è presente una stringa "demo". Il modulo rootkit esaurisce spesso la memoria del dispositivo, causando un arresto anomalo. E i server di comando e controllo di Kaiji spesso vanno offline, lasciando i dispositivi infetti esposti al dirottamento di altre botnet.
Non è detto che i numerosi limiti attuali non possano essere superati in futuro. Allo stato attuale Kaiji non sembra una minaccia. Ma non significa che non lo sarà in futuro. I ricercatori ne stanno monitorando l'evoluzione.
La particolarità di questa nuova minaccia è che è scritta nel linguaggio di programmazione Golang. Una rarità in quest'ambito, dove la stragrande maggioranza dei malware IoT è scritta in linguaggio C o C ++. Non solo. In genere i nuovi malware sono frutto di codici già presenti online, riadattati o mixati a seconda delle necessità criminali. È raro che un cyber criminale si prenda la briga di scrivere da zero il codice di un malware, a maggior ragione di una botnet. Ma è quello che è accaduto con Kaiji.
La diffusione di Kaiji avviene mediante attacchi brute force contro dispositivi IoT e server Linux che hanno la porta SSH esposta su Internet. La cattiva notizia è che è già attivo in tutto il mondo. Quella buona è che non è in grado di utilizzare exploit per infettare dispositivi senza patch. Almeno nella versione attuale.Attualmente, la botnet prende di mira solo l'account "root". Il motivo è che necessita dell'accesso root ai dispositivi infetti per manipolare i pacchetti di rete grezzi e usarli per sferrare attacchi DDoS e altre operazioni. Una volta ottenuto l'accesso all'account root di un dispositivo, Kaiji lo usa in tre modi. Prima di tutto per gli attacchi DDoS. Poi per condurre altri attacchi brute force contro altri dispositivi. Terzo, per rubare qualsiasi chiave SSH locale e diffondersi ad altri dispositivi gestiti dall'account root.
Secondo i ricercatori questa botnet è tuttora in fase di sviluppo. Gli esperti hanno notato che mancano funzioni presenti nelle botnet più affermate. Inoltre, nel codice è presente una stringa "demo". Il modulo rootkit esaurisce spesso la memoria del dispositivo, causando un arresto anomalo. E i server di comando e controllo di Kaiji spesso vanno offline, lasciando i dispositivi infetti esposti al dirottamento di altre botnet.Non è detto che i numerosi limiti attuali non possano essere superati in futuro. Allo stato attuale Kaiji non sembra una minaccia. Ma non significa che non lo sarà in futuro. I ricercatori ne stanno monitorando l'evoluzione.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Nov 21
Ruckus Networks & V-Valley – Innovazione Wi-Fi e Switching con RUCKUS ONE
Nov 21
AWS & Computer Gross: scopri i nuovi appuntamenti on-site, prendi parte all'AWS Roadshow e all'Immersion Day
Nov 21
Incontra Microsoft e Acer all'Esprivillage di Padova per parlare di AI e nuovi prodotti Copilot+PC
Nov 21
Fiera dell'elettrico
Nov 21
Kyocera Print Solutions: scopri il futuro della stampa per il business e il programma delle certificazioni
Nov 21
Digital Asset e Font Management: vieni a scoprire le soluzione di Extensis
Nov 21
Scality Artesca: object storage S3 per backup immutabili Onpremise!
Nov 22
Cyber Unit: IBM – Protezione del dato e delle identità con Guardium e Verify
Nov 22
Webex IBM watsonx orchestrate -
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
