Kaiji Malware Brute Forces Combinazioni di nome utente e password facili da indovinare per attacchi di successo
La cosiddetta rivoluzione dell'Internet of Things (IoT) ha cambiato l'ecosistema online in molti aspetti diversi e la sicurezza informatica non fa eccezione. Gli hacker sapevano che i gadget intelligenti e altri dispositivi IoT sono poco più che piccoli computer con sistemi operativi ridotti (principalmente basati su Linux) ed erano determinati a sfruttare questo fatto.
Alcune minacce IoT non riuscite sono apparse prima che Mirai arrivasse sulla scena e riscrivesse completamente il libro dei record quando si tratta di attacchi DDoS (Distributed Denial of Service). I colossali attacchi della botnet sono stati abbastanza potenti da far cadere grossi pezzi di Internet in intere regioni del mondo e hanno dimostrato quanto possano essere pericolosi i gadget IoT armati. Hanno anche mostrato a tutti quanto sia scarso lo stato della sicurezza dell'IoT. Penseresti che avremmo imparato le nostre lezioni ormai. Penseresti che avremmo reso i nostri dispositivi intelligenti più difficili da hackerare. Bene, ti sbaglieresti.
Table of Contents
Kaiji: una nuovissima famiglia di malware IoT
Un gruppo di ricercatori indipendenti di nome MalwareMustDie si è recentemente imbattuto in Kaiji, un ceppo di malware IoT precedentemente non segnalato. Sebbene non ne avessero mai sentito parlare prima, gli esperti probabilmente all'inizio pensarono che l'unica cosa nuova del malware sarebbe stato il nome.
Dopo gli storici attacchi DDoS di Mirai, la comunità della sicurezza e le forze dell'ordine hanno iniziato a dare la caccia agli autori del malware. Alla fine, sono stati identificati i creatori della botnet DDoS più potente del mondo, ma prima di ciò, il codice sorgente di Mirai era trapelato. Da allora, praticamente tutte le famiglie di malware IoT che hanno deciso di lanciare attacchi DDoS si sono basate su Mirai. Ci sono nuovi nomi e nuovi componenti, ma il nucleo è sempre praticamente identico e viene dal famigerato Mirai.
Kaiji, tuttavia, è stato scritto da zero in Go Lang. Non una singola riga di codice è stata copiata da nessun'altra parte, il che significa che per la prima volta da un po 'di tempo abbiamo una famiglia di malware IoT che possiamo confrontare con Mirai. Quindi, come si accumula?
Kaiji è il nuovo Mirai?
Il fatto è che al momento non sappiamo molto di Kaiji. I ricercatori di Intezer hanno scritto un rapporto tecnico sul nuovo malware, a sostegno del sospetto di MalwareMustDie che Kaiji fosse stato scritto da hacker cinesi. Il malware è apparentemente pronto a lanciare diversi tipi di attacchi DDoS, ma sembra che sia ancora in fase di sviluppo. Ad un certo punto durante l'analisi, i ricercatori di Intezer hanno notato che Kaiji stava consumando troppa RAM e in seguito hanno visto che parti dell'infrastruttura Command & Control non erano operative, una chiara indicazione che gli autori di malware hanno ancora del lavoro da fare.
Hanno scelto il loro vettore di infezione iniziale, tuttavia, e la loro decisione può dirci molto non solo su Kaiji ma sull'intero panorama IoT.
Nuovo malware, vecchi trucchi
Kaiji infetta i nuovi dispositivi forzando brutalmente le credenziali di accesso SSH. SSH è un protocollo di rete che ti consente di controllare in remoto altri dispositivi e, in molti luoghi, lo vedrai descritto come molto più sicuro di Telnet, il protocollo di comunicazione che Mirai utilizza per reclutare gadget intelligenti. In effetti, una delle differenze principali è che le connessioni SSH sono crittografate, ma in questo caso particolare non importa.
Sia Mirai che Kaiji si fanno forza, il che significa che gli attacchi non mirano ai protocolli, ma alle credenziali di accesso. Il semplice fatto che queste credenziali di accesso presentino ancora un vettore di infezione valido parla di volumi sullo stato della sicurezza IoT. Kaiji e Mirai non sfruttano nemmeno le decisioni sbagliate sulla gestione delle password da parte delle persone. Invece, sfruttano il fatto che troppi dispositivi utilizzano ancora le credenziali predefinite.
I produttori di gadget IoT rilasciano i dispositivi sul mercato con credenziali di accesso facili da indovinare che potrebbero consentire a chiunque di prenderne il controllo. Nella speranza che nessuno sia interessato ad hackerare questi particolari gadget, i venditori spesso non riescono a implementare un modo per aggiornare le password deboli, il che rende un attacco ancora più probabile per avere successo. Anche se esiste un meccanismo di reimpostazione della password, spesso gli utenti non possono preoccuparsi di usarlo.
Questo è stato il caso del 2016 quando Mirai ha lasciato i suoi primi segni, ed è chiaramente il caso adesso, il che dimostra che non abbiamo imparato nulla negli ultimi quattro anni.
