Che oramai noi utilizzatori del pinguino non siamo più al sicuro da attacchi vari di malware non è più una novità, -quasi- ogni giorno escono vulnerabilità e software che le sfruttano.

E’ anche questo il caso di Gitpaste-12, un nuovo malware scoperto dai ricercatori del Juniper Threat Labs e chiamato così per l’uso che fa di GitHub e Pastebin per ospitare parti delle sue componenti. Grazie all’uso di ben 12 differenti metodi, il programma malevolo in questione tenta di insediarsi in sistemi Linux x86, di cui fan parte prevalentemente server, così come sistemi Linux ARM e MIPS, cuore di molti dispositivi IoT (Internet Of Things).

Dopo aver avuto accesso a questi dispositivi sfruttando 11 vulnerabilità note sia a livello di prodotti (Asus, Huawei, router Netlink), che a livello di software (MongoDB e Apache Struts), che a livello di mero tentativo di bruteforce di username e password, Gitpaste-12 scarica script da Pastebin per fornire i comandi che gli permettono di scaricare altre istruzioni da un repository GitHub, con lo scopo principale di disattivare i sistemi di difesa come firewall e software di monitoraggio che, altrimenti, segnalerebbero l’attività malevola. Le 11 vulnerabilità sfruttate dal malware sono le seguenti:

• CVE-2017-14135: Webadmin plugin for opendreambox
• CVE-2020-24217: HiSilicon based IPTV/H.264/H.265 video encoders
• CVE-2017-5638: Apache Struts
• CVE-2020-10987: Tenda router
• CVE-2014-8361: Miniigd SOAP service in Realtek SDK
• CVE-2020-15893: UPnP in dlink routers
• CVE-2013-5948: Asus routers
• EDB-ID: 48225: Netlink GPON Router
• EDB-ID: 40500: AVTECH IP Camera
• CVE-2019-10758: MongoDB
• CVE-2017-17215: Huawei router

Come se non bastasse lo stesso software contiene anche i comandi per disabilitare i servizi di sicurezza di molti servizi cloud cinesi, tra cui Alibaba Cloud e Tencent, cosa che fa pensare a questo malware come ad un primo passo per un’operazione molto più grande.

Seppur alla fine il sistema ha capacità di cryptomining, per cui sicuramente viene utilizzato dagli attaccanti per sfruttare le capacità computazionali dei dispositivi violati al fine di ottenere cryptomoneta Monero, l’idea dei ricercatori è che questo sia solo un “contorno” in attesa che la botnet sia definitivamente pronta, anche se al momento non è ancora chiaro quale possa essere il “bersaglio” finale.

Già perchè questo malware ha le caratteristiche di un worm: una volta infettato un dispositivo, ha tutto il necessario per cercare di infettare altri dispositivi all’interno della stessa rete, andando ad ampliare la rete di dispositivi compromessi.

Certo, dopo l’uscita dell’analisi del team Juniper sia la URL Pastebin che il repository GitHub sono stati disattivati e rimossi, ma il malware in questione è ancora sotto pesante sviluppo, quindi se questa operazione può aver rallentato la diffusione della botnet, è molto probabile che gli sviluppatori trovino altre vie per ripristinarne il funzionamento.

Il consiglio dei ricercatori è il solito: installare le ultime patch e non usare le password di default nei vostri dispositivi intelligenti. Ma non solo, occorre anche assicurarsi di utilizzarne di sufficientemente complesse a causa delle capacità di bruteforcing affiancate allo sfruttamento delle vulnerabilità.

E quindi? Aggiornate, aggiornate, aggiornate, e cambiate le password.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.