skip to Main Content

Cybercrime, i Router D-Link e Asus compromessi da una nuova botnet

Cybercrime, I Router D-Link E Asus Compromessi Da Una Nuova Botnet

di Pierguido Iezzi

Una nuova Botnet ha compromesso centinaia di router ASUS, D-Link e Dasan Zhone negli ultimi tre mesi, nonché dispositivi Internet of Things (IoT): si chiama dark_nexus

Una nuova Botnet del cybercrime ha recentemente fatto capolino e ha compromesso centinaia di router ASUS, D-Link e Dasan Zhone negli ultimi tre mesi, nonché dispositivi Internet of Things (IoT) come registratori e telecamere termiche di movimento. Chiamata dark_nexus (basata su una linea di codice che stampa nel suo banner), utilizza processi simili ai sui poco illustri predecessori che avevano come target i dispositivi IoT come il malware bancario Qbot e la botnet Mirai. Tuttavia, dark_nexus è anche dotato di un modulo innovativo per consentire la persistenza nei dispositivi colpiti e di evitare il rilevamento. Una funzione, secondo gli esperti di cyber security, che rende Dark_nexus decisamente più pericoloso dei suoi predecessori.Per esempio, i payload sono compilati per 12 diverse architetture di CPU e consegnati dinamicamente in base alla configurazione della vittima. Questo dimostra un grado di adattabilità veramente avanzato.

Dark_nexus sfrutta il Credential Stuffing Telnet e la possibilità di compromettere i dispositivi attraverso due moduli

La scoperta di dark_nexus è sicuramente interessante. In particolar modo in un momento in cui le Botnet continuano a rappresentare una minaccia formidabile, compromettendo i dispositivi vulnerabili collegati a Internet al fine di distribuire spam, malware o inondare i sistemi con attacchi DDoS (distributed denial of service). Il tool del cybercrime sfrutta il Credential Stuffing Telnet (utilizzando un elenco di credenziali predefinito) e la possibilità di compromettere i dispositivi attraverso due moduli.  Le sue versioni precedenti impiegavano exploit per individuare difetti come la CVE-2019-7256, una vulnerabilità di command injection, nella serie di router E3 Linear eMerge E3, e uno di esecuzione del codice remoto non autenticato nei router Netgear DGN1000. Dark_nexus prende in prestito anche il codice e i processi precedentemente utilizzati da Qbot e dalla famigerata botnet Mirai che ha lanciato uno degli attacchi DDos più devastanti del 2016. 

Come funziona il codice malevolo del cybercrime

Il codice di avvio della nuova Botnet si comporta in modo simile a quello di Qbot, bloccando diversi segnali e staccandosi dal terminale. Inoltre, analogamente a Mirai, dark_nexus si lega a una porta fissa (7630), assicurando che una singola istanza del bot possa funzionare sul dispositivo. I ricercatori  di cyber security che per primi hanno fatto la sua scoperta hanno trovato altre similitudine con ulteriori botnet (TheMoon, Gwmndy e Omg botnet), tra cui dei proxy5 in alcune versioni di dark_nexus. Da quando è stata individuata per la prima volta a dicembre, isi stima (sulla base di prove di honeypot) che la botnet abbia compromesso almeno 1.372 dispositivi in tutto il mondo. Questi hanno sede principalmente in Corea del Sud, ma anche in Cina, Tailandia e Brasile. In confronto, Mirai aveva infettato più di 600.000 dispositivi IoT durante il suo picco nel novembre 2016.

Gli esperti di cyber security: La Botnet viene fornita con tattiche che consentono di eludere il rilevamento e mantenere la persistenza

Al di là di queste somiglianze, tuttavia, gli esperti di cyber security sono convinti che dark_nexus si stia ancora aprendo la strada. Soprattutto a fronte del rapido sviluppo dei suoi componenti. La Botnet viene infatti fornita con tattiche che consentono di eludere il rilevamento e mantenere la persistenza. Il tool del cybercrime utilizza una tecnica per lanciare attacchi DDoS che nasconde il traffico come innocuo, generato dal browser, aiutandolo ad esempio a bypassare il rilevamento. Una volta che infetta un dispositivo, il bot tenta anche di camuffarsi fingendo di essere un BusyBox (sotto il nome di /bin/busybox), una popolare suite di software che fornisce diverse utilità Unix in un unico file eseguibile. E’ anche dotata di comandi per rimuovere i permessi di riavvio su dispositivi compromessi, permettendo così la persistenza. Questi fermano il servizio cron (che viene utilizzato per programmare le attività) e rimuovono i permessi per gli eseguibili che potrebbero essere utilizzati per riavviare il dispositivo.

Dark_nexus punta ad ottenere la “supremazia” sul dispositivo compromesso

La botnet utilizza anche una tecnica unica volta a garantire la “supremazia” sul dispositivo compromesso: un sistema di punteggio per valutare quali processi potrebbero rappresentare un rischio di rilevamento. Ciò comporta il mantenimento di una lista di processi sulla Whitelist e “l’uccisione” di ogni altro processo che supera una certa soglia di sospetto. Altre caratteristiche utilizzate da dark_nexus includono un modulo di debug per mantenere la corretta funzionalità e l’affidabilità del dispositivo. Inoltre, il payload è personalizzato per mirare a 12 diverse architetture di CPU – dandogli più ampiezza in termini di tipi e numero di dispositivi che può mirare. 

Si ritiene che l’autore possa essere greek.Helios, noto autore di tool, che vende servizi DDoS e codici botnet

I ricercatori di cyber security indicano come possibile creatore della botnet greek.Helios, noto autore di questo tipo di tool, che vende servizi DDoS e software. I codici di dark_nexus contengono nel loro banner una stringa “@greek.helios” presente in altre botnet (come ad esempio in una variante Mirai del 2018 chiamata “hoho”). Utilizzando i video di YouTube che dimostrano alcuni dei suoi lavori passati e le offerte di pubblicazione su vari forum di cybercriminali, lo sviluppatore sembra avere esperienza con le capacità di malware dell’IoT, affinandole fino a sviluppare il nuovo codice malevolo.

Back To Top