giovedì 25 gennaio 2018

Router D-Link sotto attacco: il worm Masuta crea la sua botnet


I router D-Link, diffusissimi, sono sotto attacco. Il worm in questione si chiama Masuta, dal giapponese "maestro": un worm piuttosto all'avanguardia e particolare, che si sta diffondendo a ritmi allarmanti. E' stato individuato dai ricercatori di NewSky Security già in Settembre, ma non aveva destato particolari allarmi. Fino alla versione attualmente in diffusione. Come si vede dal grafico, a Dicembre già 1400 IP erano riguardati dall'infezione. Ad oggi siamo già a 2400. 

Fonte: blog.newskysecurity.com/

Masuta: uno sguardo tecnico
Masuta a Settembre non sembrava molto diverso da Mirai: sfruttava, come il capostipite, un elenco di credenziali predefinite (deboli, di default o conosciute) per accedere ai router e altri dispositivi IoT.

Fonte: blog.newskysecurity.com/

In seguito però ne è stata individuata una seconda versione che, oltre alle credenziali, sfrutta un exploit che consente di prendere il controllo dei dispositivi sotto attacco. 

Nel dettaglio si tratta di un attacco che sfrutta l' Home Network Administration Protocol (HNAP), utilizzato dai dispositivi, e che si basa a sua volta sul protocollo SOAP. In particolare l'attacco sfrutta due vulnerabilità di SOAP: la prima consente di aggirare il meccanismo di autenticazione, la seconda permette l'esecuzione di codice sul router stesso.

Nel report  di NewSky si esemplifica uno di questi comandi:
hxxp://purenetworks.com/HNAP1/GetDeviceSettings/`reboot, ad esempio, provoca il riavvio del dispositivo. 

Che cosa fa?
Masuta sfrutta i comandi SOAP per scaricare uno script dal proprio server C&C e lo avvia. Nel codice c'è anche un riferimento a Brian Krebs, giornalista informatico che nel 2016 ha subito un durissimo attacco da parte di alcuni cyber-criminali. Trasforma i dispositivi infetti nei nodi di una botnet.



Chi c'è dietro?
Molto probabilmente una vecchia conoscenza, lo stesso autore di Satori, il worm che, prima sconfitto, si è ripresentato con nuove caratteristiche che lo hanno fatto balzare all'attenzione dei ricercatori. La conferma è arrivata quando i ricercatori hanno scoperto che il server C&C è  lo stesso usato da Nexus Zeta, l'autore di Satori. Infine un utente su Twitter, Nexus Zeta, ha twitatto un riferimento alla nuova botnet e a Brian Krebs.



Nexus Zeta si sta evidentemente specializzando nella creazione di botnet e sta approfondendo lo studio delle vulnerabilità del protocollo SOAP: ha già implementato due exploit basati sulle vulnerabilità CVE-2014–8361 e la CVE-2017–17215

Nessun commento:

Posta un commento