La nuova variante del malware InterPlanetary Storm prende di mira i dispositivi IoT. I dispositivi infetti aprono backdoor per cryptomining, DDoS e altri attacchi su larga scala.
L'organizzazione criminale informatica dietro il malware InterPlanetary Storm ha rilasciato una nuova variante che ora prende di mira i dispositivi Mac e Android oltre ai computer Windows e Linux. Il malware crea una botnet che attualmente include circa 13.500 computer infetti in 84 paesi diversi in tutto il mondo e quel numero continua a crescere.
Dopo Windows e Linux, ora i dispositivi IoT
La prima variante di InterPlanetary Storm che ha preso di mira le macchine Windows è stata scoperta nel maggio 2019 e una variante in grado di attaccare le macchine Linux è stata segnalata nel giugno di quest'anno. La nuova variante, scoperta per la prima volta dai ricercatori di Barracuda alla fine di agosto, si rivolge a dispositivi IoT come TV con sistemi operativi Android, nonché macchine basate su Linux come router con servizio SSH mal configurato. Sebbene la botnet che crea questo malware non abbia ancora una chiara funzionalità, fornisce agli operatori della campagna una backdoor nei dispositivi infetti in modo che possano essere successivamente utilizzati per cryptomining, DDoS o altri attacchi su larga scala.
La maggior parte dei computer infettati dal malware si trova attualmente in Asia.
• Il 59% dei computer infetti si trova a Hong Kong, Corea del Sud e Taiwan.
• 8% in Russia e Ucraina
• 6% in Brasile
• 5% negli Stati Uniti e in Canada
• 3% in Svezia
• 3% in Cina
• Tutti gli altri paesi registrano l'1% o meno (la Germania attualmente è dello 0,5%)
Come funziona il nuovo malware InterPlanetary Storm
La nuova variante del malware InterPlanetary Storm ottiene l'accesso alle macchine eseguendo un attacco a dizionario sui server SSH, simile a FritzFrog, un altro malware peer-to-peer (P2P). Può anche ottenere l'accesso accedendo ai server ADB (Android Debug Bridge) aperti. Il malware è a conoscenza dell'architettura della CPU e del sistema operativo delle sue vittime e può essere eseguito su macchine basate su ARM, un'architettura utilizzata abbastanza comunemente dai router e da altri dispositivi IoT. Il malware è soprannominato InterPlanetary Storm perché utilizza la rete p2p IPFS (InterPlanetary File System) e l'implementazione sottostante di libp2p. Ciò consente ai nodi infetti di comunicare tra loro direttamente o tramite altri nodi (ad es. Relay).
Particolarità della nuova variante
Questa variante di InterPlanetary Storm è scritta in Go, utilizza l'implementazione di Go di libp2p ed è fornita con UPX. Prolifera utilizzando la forza bruta SSH e apre le porte ADB e fornisce file malware ad altri nodi della rete. Il malware abilita anche la shell inversa e può eseguire la shell bash. La nuova variante ha diverse caratteristiche uniche progettate per aiutare il malware a rimanere persistente e protetto una volta che ha infettato una macchina:
- Riconosce gli honeypot. Il malware cerca la stringa "svr04" nel prompt della shell standard (PS1), precedentemente utilizzato dall'honeypot Cowrie.
- Si aggiorna automaticamente. Il malware confronta la versione dell'istanza in esecuzione con l'ultima versione disponibile e si aggiorna di conseguenza.
- Tenta di essere persistente installando un servizio (system/systemv) utilizzando un pacchetto Go Daemon.
- Arresta altri processi sulla macchina che rappresentano una minaccia per il malware, come debugger e malware concorrenti.
Misure di protezione contro la nuova variante della tempesta interplanetaria
- Corretta configurazione dell'accesso SSH su tutti i dispositivi: Ciò significa che vengono utilizzate chiavi anziché password, rendendo l'accesso più sicuro. Se l'accesso tramite password è abilitato e il servizio stesso è accessibile, il malware può sfruttare la superficie di attacco mal configurata. Questo è un problema per molti router e dispositivi IoT, rendendoli facili bersagli per questo malware.
- Utilizzo di uno strumento di gestione della postura di sicurezza del cloud per monitorare il controllo degli accessi SSH per evitare eventuali errori di configurazione che possono avere gravi conseguenze. Se necessario, dovrebbe essere fornito un accesso sicuro alle shell; invece di esporre la risorsa alle minacce su Internet, dovrebbe essere implementata una connessione VPN abilitata per MFA e le reti segmentate per esigenze specifiche, piuttosto che consentire l'accesso a reti IP estese.
Scopri di più sul blog su Barracuda.com
[stellaboxid=5]