dark_nexus: la botnet più grande mai creata?

Spesso sentiamo parlare di botnet, ovvero di quelle reti di computer (o dispositivi) compromessi che possono cooperare ad un singolo scopo. Gli usi più comuni di questi sistemi è quello di causare DDoS (Distributed Denial of Service) o, più recentemente, di minare criptovalute.

Proprio in questi giorni BitDefender ha rilasciato un paper in cui parla di una nuova botnet che ha scoperto recentemente: dark_nexus. Pensato proprio per eseguire attacchi di tipo DDoS, chiamata così per via di una stringa che trasmette durante gli attacchi via HTTP (“dark_NeXus_Qbot/4.0”), riutilizza un po’ del codice di Qbot e Mirai (vi abbiamo già parlato di alcuni suoi derivati su queste pagine), anche se il cuore della stessa è praticamente scritto da zero.

Ma perché tutta questa attenzione in merito a questo malware? Per due motivi principalmente: il primo è che è pensata per attaccare un’ampia gamma di dispositivi IoT, dai videoregistratori alle telecamere termiche, fino ad arrivare a piccoli router ad uso casalingo, e la seconda che i payloads (ovvero quelle parti di eseguibili che mettono “rompono” le barriere ed infettano il dispositivo finale) sono compilati per 12 differenti architetture di CPU ed inviate dinamicamente a seconda della configurazione della vittima.

Inoltre utilizza un metodo specifico per rivaleggiare su altri eventuali malware presenti sullo stesso dispositivo infettato, guardando i processi presenti su di esso ed assegnando un “punteggio” a seconda del comportamento e di alcuni parametri degli stessi, ed uccidendo tutti quelli che, con un punteggio di 100, vengono terminati dal malware stesso.

La ricerca di BitDefender ha identificato in Aboriginal Linux il sistema usato per la creazione di questi binari. La distribuzione in questione, oramai non sviluppata più da molti anni, facilita di molto il cross-compiling (la possibilità di compilare per un’architettura partendo da un’altra), viene ancora utilizzata parecchio dagli autori proprio di questi malware per dispositivi connessi.

Mappa di infezione di dark_nexus (fonte: BitDefender)

Al momento la botnet è composta da almeno 1372 dispositivi e purtroppo la tendenza è in aumento, d’altronde lo sviluppatore (tale @greek.helios) si è dato parecchio da fare su questo specifico malware, con oltre 30 versioni differenti (cosa che denota uno sviluppo intensivo su di esso). Stiamo tutti in guardia perché, nei prossimi mesi, potrebbe toccare anche a noi.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: ,