Si chiama dark_nexus la nuova botnet utilizzata dai criminal hacker per lanciare attacchi DDoS verso le infrastrutture Internet.
In particolare, dark_nexus si diffonde sfruttando exploit e lanciando attacchi di tipo credential stuffing contro un’ampia gamma di dispositivi IoT tra cui anche numerosi modelli di router (D-Link e ASUS, tra gli altri), video recorder e telecamere termiche di videosorveglianza.
La botnet scoperta dai ricercatori Bitdefender risulta al momento ancora attiva e, viste le sue caratteristiche e gli obiettivi che è in grado di compromettere, rende la rete Internet già sottopressione per il massiccio ricorso allo smart working a causa della pandemia di Covid-19 ancora più vulnerabile.
Indice degli argomenti
Dark_nexus: i dettagli tecnici
Secondo i ricercatori Bitdefender, i criminal hacker potrebbero utilizzare la botnet dark_nexus per lanciare attacchi DDoS contro le infrastrutture prese di mira “reclutando” dispositivi IoT in tutto il mondo.
Sono state scoperte, inoltre, già due differenti varianti del malware. Nella prima versione, una volta che un dispositivo IoT diventa un bot, dark_nexus è in grado di utilizzare avanzate tecniche di persistenza per cercare di rimanere attivo sullo stesso impedendone il riavvio.
Nella seconda versione della botnet, invece, i criminal hacker hanno perfezionato il codice malevolo facendo in modo che una serie di comandi vengano eseguiti dopo l’eventuale riavvio.
Le prime tracce della botnet dark_nexus sono state identificate all’inizio di quest’anno e ora si contano già 1.372 dispositivi zombie diffusi soprattutto in Cina, Corea del Sud, Tailandia, Brasile e Russia che funzionano da reverse proxy consentendo di allargare ulteriormente l’infezione.
Si ritiene che dark_nexus possa essere stata creata da greek.Helios, un noto autore di botnet che vende servizi DDoS e codice botnet e che la sta vendendo “in promozione” su YouTube a poco più di 17 euro per la versione che offre 2.500 secondi di tempo di avvio fino a poco più di 90 euro per avere l’accesso amministrativo illimitato ai dispositivi IoT compromessi.
L’analisi di Bitdefender ha inoltre stabilito che dark_nexus riutilizza una parte del codice della famosa botnet Mirai, anche se i suoi moduli principali sono per lo più originali. Un mix che preoccupa non poco i ricercatori di sicurezza: considerando gli enormi danni causati in passato da Mirai, è facile immaginare i rischi a cui tutti i dispositivi IoT possono andare incontro, soprattutto nel contesto di oggi in cui quasi un miliardo di persone in 32 Paesi nel mondo sono chiamate a restare chiuse in casa per cercare di frenare l’ondata di contagi da coronavirus.
Questa situazione, fanno notare i ricercatori Bitdefender, sta mettendo Internet sotto pressione, tanto che per limitare l’impatto di questo utilizzo massivo, i servizi di video streaming più popolari hanno limitato l’uso della banda per evitare la congestione della rete, ma la realtà è che al giorno d’oggi una rete bot anche di piccole dimensioni può causare molti danni.
Le aziende che si affidano alla connettività Internet potrebbero vedere il loro fatturato direttamente influenzato, i consumatori dovrebbero essere più responsabili dei dispositivi che mettono online e gli organismi di tutela dovrebbero essere più attivi nel promuovere standard di sicurezza per tutti i dispositivi IoT.
“Botnet come dark_nexus, possono essere molto aggressivi e dannosi. Un attacco simile sferrato nel 2016 attraverso la botnet Mirai ha mostrato alla cronaca internazionale cosa questi sistemi siano in grado di fare” ha dichiarato Liviu Arsene, Global Cybersecurity Researcher di Bitdefender. “Mirai ha reso inaccessibili negli USA importanti siti web tra cui Twitter, Amazon e New York Times, dopo l’attacco contro un’azienda che gestiva parti cruciali dell’infrastruttura di Internet”.
Come difendersi dalle botnet
Per mettere in sicurezza i propri dispositivi IoT e le infrastrutture aziendali da attacchi con botnet del calibro di dark_nexus è utile mettere in pratica alcune tecniche di controllo:
- innanzitutto, è utile utilizzare software di protezione basati su signature: tramite i pattern in essi inseriti sono in grado di rilevare quando un host sia parte di una botnet. Questo metodo, ovviamente, funziona solamente per botnet conosciute;
- gli honeypot sono delle ottime trappole virtuali che consentono di raccogliere informazioni e visionare in tempo reale le attività degli attaccanti. Studiando le tecniche offensive messe in atto ed analizzando il software che viene installato dai malintenzionati, è possibile risalire in maniera esatta a quale sia il malware utilizzato per l’infezione dei bot;
- l’analisi comportamentale è sicuramente la tecnica più avanzata per difendersi dalle botnet. Essa ricerca comportamenti anomali nel traffico di uno specifico host o rete ed è in grado di rilevare ogni possibile anomalia. Ciò consente, tra l’altro, di rilevare anche botnet ancora sconosciute e di farlo in tempo reale.
