Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

BrickerBot, il worm anti-Mirai che mette K.O. i device IoT

Apr 07, 2017 Marco Schiaffino Attacchi, In evidenza, News, RSS 0

Il malware attacca i device vulnerabili e li rende inutilizzabili. Gli esperti: “forse un metodo poco ortodosso per bloccare Mirai”.

Il nuovo worm che prende di mira i dispositivi della “Internet of Things” potrebbe essere stato progettato per mettere fine alla diffusione di Mirai, il malware che permette ai pirati informatici di compromettere i dispositivi IoT e utilizzarli come bot per portare attacchi DDoS.

Stando a quanto riportano i ricercatori di Radware, BrickerBot prende di mira esattamente il tipo di dispositivi che sono vulnerabili agli attacchi di Mirai, ma al posto di prenderne il controllo, ne modifica le impostazioni rendendoli inutilizzabili.

L’idea di utilizzare un malware per questo scopo non è nuova ed era già circolata in passato. Ora qualcuno sembra averla presa sul serio, ma con modalità che non sono esattamente quelle che aveva prospettato il ricercatore di sicurezza Jerry Gabin all’indomani della comparsa delle prime botnet Mirai.

Gabin, infatti, aveva ipotizzato la diffusione di un worm che fosse in grado di rendere più sicuri i dispositivi vulnerabili, BrickerBot invece li toglie dalla circolazione con metodi decisamente più spicci.

Il worm prende di mira i device su piattaforma Linux, che sono accessibili via Internet e hanno una sessione Telnet disponibile. Esattamente lo stesso identikit della classica vittima di Mirai.

Una volta ottenuto l’accesso al dispositivo utilizzando lo stesso exploit usato da Mirai, avvia una serie di comandi che interrompono le comunicazioni Internet, blocca le capacità di elaborazione e impedisce la memorizzazione di nuovi dati.

Una breve serie di comandi e il gioco è fatto: il dispositivo IoT in questione è fuori gioco.

Le tecniche utilizzate sono piuttosto semplici. Per quanto riguarda la connettività, BrickerBot modifica le impostazioni disabilitando la marca temporale (timestamp) TCP. In questo modo la connessione è integra, ma non funzionante.

A livello di sistema, invece, il worm modifica le impostazioni del Kernel limitando il numero di thread a 1 (l’impostazione predefinita per i sistemi ARM è di 10.000) mentre sul fronte storage si limita a riempire l’unità di memoria scrivendo dati casuali e rendendola, di fatto, inutilizzabile. Infine, riavvia il sistema.

Risultato: in una manciata di secondi il dispositivo non è più in grado di elaborare processi, memorizzare dati o comunicare via Internet. Per renderlo nuovamente operativo, il proprietario del dispositivo dovrà aggiornare il firmware.

Stando a quanto riportato da Radware, gli attacchi verrebbero portati con due versioni diverse di BrickerBot, una diffusa attraverso una serie di server sparsi in tutto il mondo, l’altra attraverso una tecnica di offuscamento che sfrutta la rete Tor per nascondere l’origine degli attacchi.

Condividi l'articolo