skip to Main Content

Cybercrime: Arriva Momentum, la botnet che infetta Linux e i dispositivi IoT

Trend Micro scopre Momentum, una botnet che infetta Linux e i dispositivi IoT. Il malware, sfruttando diverse vulnerabilità, tenta di aprire una “backdoor” sul server bersaglio per lanciare attacchi DDoS. In 36 modi diversi

Arriva Momentum, la botnet che infetta Linux e i dispositivi IoT. L’hanno scoperta i ricercatori di cyber security di Trend Micro, sottolineando che è attiva anche su architetture CPU quali ARM, MIPS, Intel e Motorola 68020. La botnet, sfruttando diverse vulnerabilità, tenta di aprire una “backdoor” sul server target dal quale successivamente può sferrare attacchi DDoS (Distributed Denial of Service). I malware distribuiti sono varianti di quelle associate a Mirai, tra cui Kaiten e Bashlite. Dopo aver infettato il dispositivo, modifica i file “rc” e accedendo al server di comando e controllo (C&C) si connette al canale IRC (Internet Relay Chat) #HellRoom per registrarsi e accettare comandi. Gli operatori possono quindi controllare i sistemi infetti inviando messaggi tramite il canale. Una volta stabilite le linee di comunicazione, Momentum può utilizzare diversi comandi per attaccare utilizzando i dispositivi compromessi. In particolare, 36 metodi diversi per aggressioni cibernetiche di tipo DDoS.

Gli esperti di cyber security: La botnet del cybercrime è in grado di eseguire anche altre azioni e tenta di rendere difficile il suo rilevamento

Gli esperti di cyber security del CERT-PA ricordano che Momentum utilizza metodi di riflessione e amplificazione noti, i quali hanno una varietà di target: MEMCACHE, LDAP, DNS e Valve Source Engine. In questi tipi di attacchi, il malware in genere falsifica gli indirizzi IP di origine (le vittime) su vari servizi eseguiti su server accessibili al pubblico, provocando un flusso di risposte per sopraffare l’indirizzo del bersaglio. Inoltre, la botnet del cybercrime è in grado di eseguire azioni come apertura di un proxy su un IP specificato, modifica del nick del client, disabilitazione o abilitazione della pacchettizzazione dal client. Infine, cerca di rendere difficoltoso il rilevamento:

  1. Fast Flux: attraverso l’assegnazione di più indirizzi IP ad un dominio e il loro cambio continuamente rendono molto difficile il rilevamento;
  2. Backdoor: viene inviato un messaggio via IRC per far eseguire comandi specifici ai malware;
  3. Propagazione: vengono sfruttate vulnerabilità specifiche su alcuni prodotti.
Back To Top