Quando si parla di IoT botnet, il riferimento più frequente è quello agli attacchi DDoS. Un attacco DDoS (Distributed Denial-of-Service) si differenzia da un regolare attacco DoS - effettuato da un singolo hacker che utilizza un solo sistema - in quanto si estende su un raggio d’azione più ampio, attraverso sistemi d’attacco multipli.
Mentre la maggior parte delle botnet di IoT vengono utilizzate per gli attacchi DDoS, negli ultimi mesi molti ceppi di malware di IoT - solitamente utilizzati per l’assemblaggio di queste botnet - hanno aggiunto delle nuove funzioni. La principale fra queste è la capacità di ritrasmettere il traffico web attraverso l’installazione di un server proxy sui dispositivi infetti.
Linux.ProxyM funziona come una rete proxy costituita di dispositivi IoT
Una di queste botnet è quella costruita utilizzando il malware Linux.ProxyM. Questa botnet, rispetto alle altre, non ha mai avuto capacità DDoS ed è stata costruita fin dall’inizio per funzionare come una gigante rete di server proxy, in esecuzione sui dispositivi smart.
La botnet infatti sarebbe al momento impegnata in campagne di mail spam. Linux.ProxyM, dopo aver infettato un dispositivo, si connette al suo server di comando e controllo e richiede ulteriori istruzioni. Questo server risponde fornendo l'indirizzo del server SMTP, il login e la password utilizzati per effettuare l’accesso, un elenco di indirizzi email ed un modello di messaggio di posta elettronica. Il malware riunisce le mail, si connette al server SMTP remoto e induce il server ad inviare le mail all'elenco degli indirizzi precedentemente fornito. Mentre lo spamming tramite server SMTP remoti può essere eseguito dal server C&C stesso, l’utilizzo dei dispositivi IoT consente all'attaccante di nascondere la sua posizione effettiva.
Ogni dispositivo IoT è in grado di inviare 400 messaggi al giorno
Linux.ProxyM è attualmente impegnato in una campagna di spam attraverso mail incentrate su contenuti per adulti ed un dispositivo infetto invia in media circa 400 messaggi al giorno. Questo dato, moltiplicato per 4,500 bot, determina un totale di circa 1,8 milioni di messaggi quotidiani.
Le cifre sono piuttosto contenute, ma molto probabilmente ciò eviterà che i server SMTP vengano aggiunti alla lista nera degli spam. Linux.ProxyM, in origine, veniva utilizzato per ritrasmettere il traffico web, una funzione che tuttora può svolgere.
Rispetto alle prime versioni di Linux.ProxyM viste nei mesi di maggio e giugno, i malware sono evoluti, sono attualmente in esecuzione due versioni diverse e sono in grado di connettere dispositivi IoT in esecuzione su diverse strutture come x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 e SPARC. Linux.ProxyM infetta i dispositivi servendosi delle strutture IoT che ancora utilizzano le credenziali predefinite.
Nessun commento:
Posta un commento