skip to Main Content

I dispositivi IoT hanno una nuova minaccia: la botnet Torii

I Dispositivi IoT Hanno Una Nuova Minaccia: La Botnet Torii

La nuova botnet Torii è la più sofisticata di sempre. Non è una variante di Mirai e colpisce una vasta gamma di dispositivi IoT. E’ estremamente pericolosa

C’è una nuova botnet in agguato, pronta a colpire i dispositivi IoT: si chiama Torii e non è un’evoluzione della nota Mirai. Lo ha scoperto il ricercatore di cyber security Vesselin Bontchev, il quale ha rilevato che finora non ha lanciato attacchi informatici di tipo DDoS o di CryptoMining. Inoltre, questa è stata analizzata dagli esperti di Avast, i quali hanno spiegato che ha un’elevata complessità tecnica mai vista prima. Il codice malevolo ha un’architettura altamente modulare ed è dotato di un numerose funzioni che gli consentono di catturare informazioni sensibili, eseguire un gran numero di comandi sugli apparecchi attaccati e impiantare altri malware. Inoltre, può colpire una vasta gamma di dispositivi di Internet delle Cose. Peraltro, usando più livelli di comunicazioni crittografate. Sembra che la botnet sia nata almeno a dicembre del 2017, ma potrebbe essere anche precedentemente.

Come Torii lancia i suoi cyber attacchi e si insinua nelle macchine dei bersagli

Torii lancia i suoi cyber attacchi ai dispositivi IoT via telnet, sfruttando credenziali deboli o note dei bersaglii. Le aggressioni cibernetiche provengono da nodi di uscita della rete Tor (da qui il suo nome). Ottenuto l’accesso, viene eseguito uno script di shell, che serve a individuare l’architettura del sistema e a scaricare il payload adeguato da server remoti mediante connessioni HTTP o FTP. I payload hanno funzionalità di dropper per il secondo stadio del malware e utilizzano diversi metodi per rendere l’impianto persistente sul dispositivo infetto. Questo è il bot vero e proprio, in grado di ricevere comandi dai server di comando e controllo (C&C), eseguire funzioni anti-debug e anti-analisi, estrazione di dati e di cifratura multi-livello delle comunicazioni. Torii invia al server C&C informazioni dettagliate sul sistema e sul dispositivo e riceve svariati comandi, ai quali risponde con il risultato dell’operazione effettuata.

Perché questo malware IoT è così pericoloso

Per quanto riguarda la pericolosità di Torii, la botnet può  eseguire numerosi comandi. Tra questi memorizzare un file ricevuto dal server C&C su un disco locale; ricevere il valore di timeout da utilizzare per il polling C&C; eseguire uno specifico comando in un interprete di shell e inviare il risultato al server C&C; memorizzare un file ricevuto dal server C&C in un determinato percorso, cambiare i suoi flag in “rwxr-xr-x” per renderlo eseguibile e poi eseguirlo; verificare che uno specifico file esiste sul sistema locale e restituirne la dimensione; leggere N byte dall’offset O del file F selezionato e inviarli al server C&C; cancellare un file specificato; scaricare un file da un URL indicato; ottenere l’indirizzo di un nuovo server C&C e iniziare una comunicazione con esso. Perciò, i ricercatori di cyber security concludono che la sofisticazione del malware IoT è a un livello superiore di qualsiasi cosa vista finora.

Il post di Avast con l’analisi dettagliata di questa nuova cyber minaccia

Back To Top