In questo universo parallelo in cui Microsoft ama Linux, è fra le prime aziende a contribuire nell’ambito open-source e possiede GitHub è naturale vedere i frutti del suo lavoro per migliorare la sicurezza degli utenti su Linux. Ne abbiamo parlato recentemente raccontando dell’exploit Nimbuspwn e lo rifacciamo oggi, più o meno con la stessa trama dove cambia solo il protagonista, che questa volta è un Linux Trojan dal nome come sempre pittoresco: XorDdos.
Il simpatico gaglioffo è un malware per il quale il team Microsoft ha visto incrementare gli attacchi del 254% negli ultimi mesi e che combina funzionalità di denial-of-service (DDoS) utilizzando crittazione XOR (da qui il nome) per colloquiare con le varie componenti della sua botnet.
Veicolo di questi attacchi, sempre più esposti a questo genere di infezioni, sono i device Linux che rientrano nello spettro IoT (Internet Of Things).
XorDdos conduce attacchi automatizzati per indovinare le password su migliaia di server Linux e trovare quindi le credenziali di amministratore corrispondenti utilizzate sui server SSH. Una volta ottenute le credenziali, la botnet utilizza i privilegi di root per installarsi su un dispositivo Linux e utilizza la crittografia XOR per comunicare con l’infrastruttura di comando e controllo dell’attaccante. Mica male eh? Anche per violare la legge bisogna utilizzare comunicazioni sicure.
Ma al netto degli attacchi DDoS a preoccupare Microsoft sono le altre funzionalità di queste botnet:
We found that devices first infected with XorDdos were later infected with additional malware such as the Tsunami backdoor, which further deploys the XMRig coin miner
Abbiamo scoperto che i dispositivi infettati per la prima volta da XorDdos sono stati successivamente infettati da malware aggiuntivo come la backdoor Tsunami, che implementa ulteriormente il coin miner XMRig
Quindi la minaccia primaria è solo la punta dell’iceberg, poiché XorDdos può diventare vettore per attività dannose successivi.
XorDdoS può eseguire più tecniche di attacco DDoS, inclusi attacchi SYN flood, attacchi DNS e attacchi ACK flood oltre a nascondersi mediante diverse tecniche.
Insomma, è un tipo tosto, pertanto occhi aperti e pronti ad aggiornare non solo il vostro PC, ma anche il forno a microonde, il frigorifero, insomma… Tutti i vostri dispositivi IoT.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Lascia un commento