skip to Main Content

Cybercrime: ecco Kaiji, nuova Botnet che colpisce IoT e server Linux

Cybercrime: Ecco Kaiji, Nuova Botnet Che Colpisce IoT E Server Linux

di Pierguido Iezzi

Arriva Kaiji, nuova botnet che colpisce IoT e server Linux. E’ scritta in Golang ed è stata scoperta da poco dagli esperti di cyber security

Arriva Kaiji, una nuova Botnet che ha appena fatto la sua comparsa infettando una serie di dispositivi IoT e server basati su architettura Linux. Obiettivo: sfruttarli in attacchi DDoS (distributed denial-of-service). Il malware è stato scritto completamente da zero, fatto più unico che raro nel panorama del cybercrime di oggi, dove la condivisione e la vendita di codice è una pratica abbastanza diffusa. Il codice malevolo, scoperto alla fine di aprile dagli esperti di cyber security, è unico nel suo genere per il tooling personalizzato, creato in Golang. I precedenti tipi di malware costruiti per colpire i dispositivi IoT, infatti, utilizzavano il tooling principalmente copiando da altre botnet (comprese le molteplici varianti di Mirai), tipicamente scritte nel linguaggio di programmazione C o C+. Golang, infatti è più facile da programmare rispetto al C e permette agli sviluppatori di costruire maggiore codice e molto più facilmente.

Il codice malevolo si diffonde esclusivamente attraverso attacchi di forza bruta contro server SSH

È facile speculare come lo sviluppatore (o sviluppatori) di Kaiji, probabilmente si sentiva più a suo agio con il codice costruito ad hoc piuttosto che sovrapporsi all’infrastruttura già compilata in precedenza. Invece che fare affidamento sullo sfruttamento di vulnerabilità non corrette, il malware si diffonde esclusivamente attraverso attacchi di forza bruta contro server SSH, pubblicamente accessibili che permettono l’autenticazione SSH basata su password. Solo l’account “root” è preso di mira nell’attacco. Questo perché l’accesso è cruciale per il suo funzionamento, poiché alcuni attacchi DDoS sono fattibili solo attraverso la creazione di pacchetti di rete personalizzati. In Linux, logicamente, i pacchetti di rete personalizzati sono dati solo a un utente privilegiato come root. Una volta stabilita una connessione SSH, viene creata una directory /usr/bin/lib e poi Kaiji viene installato sotto il nome del file ‘netstat’, ‘ps’, ‘ls’, o un altro nome di strumento di sistema.

La botnet potrebbe essere ancora in fase di test, ciò non toglie comunque la sua pericolosità

Kaiji ha caratteristiche relativamente semplici, e infatti, è possibile che lo strumento sia ancora in fase di test, (una delle sue funzioni chiama addirittura lo strumento “demo”). Le caratteristiche del malware includono vari moduli di attacco DDoS, un modulo SSH brute-forcer per continuare la sua diffusione e un altro SSH spreader che dirotta le chiavi SSH locali per infettare gli host conosciuti ai quali il server si è collegato in passato. Una volta eseguito, il codice malevolo si copia su /tmp/seeintlog e lancia varie operazioni dannose, tra cui la decrittazione degli indirizzi di comando e controllo (C2) e la registrazione del server appena infettato su uno dei server di comando. Infine la rete bot recupera i comandi dal server C2 con istruzioni per specifici attacchi DDoS. La Botnet utilizza una serie di attacchi, tra attacchi TCP, UDP, SYN e ACK Flood Attack, nonché le capacità di IP-spoofing.

L’uso di Golang conferma che il cybercrime e gli autori di malware si rivolgono a linguaggi moderni, piuttosto che basarsi su quelli già consolidati

Questi tipi di attacchi sono tra i più comuni; gli UDP flood denial-of-service, per esempio, sommergono porte casuali sull’host target con pacchetti IP contenenti datagrammi UDP (User Datagram Protocol) e gli attacchi TCP SYN DDoS sfruttano parte della normale handshake a tre vie TCP per consumare risorse sul server target e renderlo non reattivo. I ricercatori di cyber security, che per primi hanno osservato l’attacco, ritengono che la rete bot abbia “origini cinesi”, in quanto alcune funzioni sono denominate in una rappresentazione inglese di parole cinesi. Kaiji è solo uno di una recente serie di ceppi di botnet, tra cui Dark_Nexus, MootBot e DDG. A differenza di queste, però, Kaiji ha però un proprio tooling personalizzato in Golang. Ciò conferma un’interessante tendenza del cybercrime: gli sviluppatori di malware si stanno rivolgendo a linguaggi moderni, facendo presagire un ulteriore “step-up” nelle loro capacità di attacco.

Back To Top