Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Amnesia: scoperta nuova botnet di dispositivi IoT con Linux embedded

Amnesia  bot  botnet  DVR  IoT   lunedì, 10 aprile 2017

I ricercatori di Unit 42 di Palo Alto Networks hanno scoperto un nuovo bot, battezzato Amnesia, che attacca dispositivi IoT di tipo DVR (Digital Video Recorder) equipaggiati con sistemi operativi Linux embedded.

Questo bot, considerato una variante di Tsunami (o Kaiten), sfrutta una vulnerabilità di tipo esecuzione di codice da remoto scoperta nel marzo del 2016 nel componente “Cross Web Server” del firmware installato nei dispositivi DVR prodotti da un’unica società e distribuiti sotto il marchio di più di 70 rivenditori in tutto il mondo. A distanza di più di un anno non risultano essere state rilasciate patch che risolvono questa vulnerabilità nei dispositivi affetti.

Sulla base di scansioni effettuate con diversi strumenti, i ricercatori di Palo Alto hanno calcolato che vi sono attualmente più di 200.000 sistemi DVR equipaggiati con firmware potenzialmente vulnerabile esposti su Internet, distribuiti prevalentemente a Taiwan (24%), seguita da Stati Uniti (22%), Israele (12%), Turchia (6%), India e Malesia (5%), Messico e Italia (4%).

Una volta infettato un dispositivo, il malware Amnesia effettua una scansione della rete alla ricerca di altri sistemi affetti da questa vulnerabilità da attaccare. Se l’attacco va a buon fine, Amnesia si installa sul dispositivo, ne prende il controllo e lo inserisce in una botnet. Oltre alla potenziale minaccia rappresentata dalla botnet, il malware Amnesia presenta le seguenti caratteristiche specifiche:

  • comunica con i server C&C mediate il protocollo IRC;
  • riceve comandi per lanciare attacchi DDoS di tipo HTTP flooding e UDP flooding;
  • è in grado di rilevare se è in esecuzione in una macchina virtuale VirtualBox, VMware o QEMU. In questo caso il malware si cancella e cerca di danneggiare la VM cancellando l’intero sistema Linux.

Questa botnet presenta notevoli analogie con quella scoperta nel giugno del 2016 e formata di sole telecamere a circuito chiuso (CCTV). Anche in quel caso tutti i dispositivi compromessi risultavano affetti dalla stessa vulnerabilità del componente “Cross Web Server”.

Anche se finora la botnet Amnesia non pare essere stata utilizzata per effettuare attacchi DDoS di vasta portata, potenzialmente i cybercriminali potrebbero sfruttare la rete dei dispositivi IoT compromessi per attacchi su larga scala come quelli lanciati nel 2016 dalla botnet Mirai.

In assenza di aggiornamenti software specifici, si raccomanda agli utilizzatori di dispositivi DVR potenzialmente vulnerabili di modificare le credenziali predefinite di accesso all’interfaccia di amministrazione e di applicare dei filtri specifici alle richieste provenienti da indirizzi IP e domini associati alla botnet Amnesia. Una lista di IoC è disponibile nel post originale di Palo Alto.

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto