L’attività della botnet a livello globale ha interessato il 60% dei corporate network monitorati da Check Point Research ed inseriti nel Threat Cloud Global Network.
“Le reti botnet sono costituite da dispositivi intelligenti connessi ad Internet, infettati dallo stesso malware e controllati […] da remoto. [Le botnet] sono le principali responsabili dei più gravi cyber-attacchi lanciati a livello globale contro le organizzazioni inclusi ospedali, areoporti, compagnie di telecomunicazione e movimenti politici” ricordano gli esperti di Check Point Research, uno dei due team di ricercatori di sicurezza (l’altro è Netlab) che analizzano da più di un mese la botnet Reaper o IoTroop – per indicare la potenziale minaccia ciascun team ha adottato un nome differente, ecco spiegati i due appellativi. Il dibattito sul numero di device IoT colpiti da Reaper resta ancora aperto (si è parlato inizialmente di milioni, la stima è stata poi abbassata a “soli” 28.000 anche se non tutti sono d’accordo) ma le caratteristiche della botnet hanno messo in allarme gli esperti.
La rete creata dal nuovo malware è prima di tutto in continua evoluzione: “Giorno dopo giorno il malware si è evoluto al fine di sfruttare un crescente numero di vulnerabilità di telecamere di sorveglianza wireless” osservano i ricercatori che hanno sottolineato l’elevato numero di vendor coinvolti (almeno nove, si va dai prodotti D-Link fino a quelli Netgear, Linksys e Sinology) e la presenza di sorgenti d’attacco multiple (la manovra viene quindi supportata attivamente da ogni device “reclutato”):
“Inviare il codice malevolo ad ogni dispositivo sarebbe un compito impegnativo e lungo, è molto più semplice lasciare che sia ogni singolo device infettato a diffonderlo tra dispositivi simili. Questo metodo di attacco è considerato come un attacco di propagazione ed è essenziale per creare velocemente degli estesi network di device controllati”.
Evoluzione della specie
“Sebbene alcuni aspetti tecnici [del malware] ci inducano a pensare ad un probabile collegamento con Mirai, [ci troviamo davanti ad] una inedita e più sofisticata campagna che si sta espandendo velocemente a livello globale”.
Mirai è stato il primo malware a sfruttare con efficacia le “distrazioni” dei vendor IoT riuscendo a bloccare per diverse ore l’accesso a noti portali come Amazon e Twitter – il provider DNS DYN, al quale fu indirizzato un attacco da oltre 700Gbps, era infatti una delle colonne portati dell’infrastruttura di rete statunitense. La nuova minaccia, come già detto, si ispira al famoso predecessore ma alza ulteriormente l’asticella introducendo nuove ed avanzate funzionalità:
- possibilità di lanciare attacchi più complessi grazie all’implementazione di un ambiente d’esecuzione integrato LUA (linguaggio di programmazione);
- la scansione dei dispositivi potenzialmente vulnerabili viene effettuata in modo non aggressivo al fine di abbassare le probabilità di essere individuati dai sistemi di difesa (es: servizi che analizzano il traffico di rete ed i pacchetti sospetti);
- a differenza di Mirai, il malware non cerca di craccare le password dei dispositivi via brute force ma sfrutta unicamente le vulnerabilità dei device – elencate in un database aggiornato periodicamente.
Quale è il vero obiettivo di Reaper? “E’ ancora troppo presto per intuire le intenzioni dei [malintenzionati dietro alla botnet] ma [visto che i precedenti attacchi DDoS via botnet aveva essenzialmente lo scopo di rendere impossibile la connessione ad Internet] è di vitale importanza che le organizzazioni si preparino [adeguatamente a fronteggiare un’eventuale minaccia]”.
Secondo Arbor Networks, Reaper è stata pensata essenzialmente per servire il mercato cinese degli attacchi DDoS on demand. Altri ricercatori osservano tuttavia che ad oggi non è stato lanciato alcun attacco e che la botnet si trova ancora in fase espansiva. Qualunque sia l’obiettivo degli hacker, Reaper rimarrà per diversi mesi uno dei “sorvegliati speciali” della rete.
