Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Il bot Hajime contende a Mirai il controllo dei dispositivi IoT

bot  botnet  Hajime  IoT  Mirai   venerdì, 21 aprile 2017

A partire da ottobre del 2016 si è andata sempre più intensificando la minaccia proveniente da botnet formate da dispositivi IoT come telecamere di sorveglianza a circuito chiuso (CCTV), videoregistratori digitali (DVR) e router equipaggiati con sistemi operativi Linux embedded vulnerabili. Queste botnet vengono di norma utilizzate per lanciare attacchi di tipo DDoS di vasta portata, come quelli attribuiti a Mirai, Bashlite e, più di recente, Amnesia.

Un altro bot per sistemi IoT, individuato ad ottobre del 2016 dagli esperti di sicurezza di Rapidity Networks e chiamato Hajime (“inizio” in Giapponese), sta ora rivaleggiando con Mirai per il primato di malware IoT più diffuso.

Come Mirai, Hajime si diffonde sui dispositivi IoT via Telnet (porta TCP 23), utilizzando credenziali di amministrazione di default. Hajime utilizza una lista di coppie username e password codificata al suo interno, molto simile a quella usata da Mirai.

Al di là della metodologia usata per infettare i dispositivi, Hajime presenta notevoli differenze rispetto a Mirai. Contrariamente a Mirai, Hajime non riceve comandi da un server C&C remoto, ma comunica attraverso una rete peer-to-peer (P2P) sfruttando diversi protocolli di BitTorrent. Questo fa sì che la botnet risulti molto decentralizzata e più difficile da individuare e smantellare.

Anche a livello di progettazione, Hajime risulta più complesso e avanzato rispetto a Mirai. Una volta penetrato in un dispositivo, Hajime analizza il sistema e dà il via ad un processo di infezione a vari stadi. Il primo stadio consiste in un piccolo programma che si connette al nodo di provenienza della botnet da cui scarica un eseguibile di dimensioni maggiori. Questo secondo stadio si connette alla rete P2P da cui riceve un file di configurazione e un programma di scansione della rete. Questo programma, il terzo stadio, effettua una ricerca sulla rete Internet allo scopo di individuare altri dispositivi vulnerabili da attaccare, continuando così il ciclo di vita del malware.

Hajime è in grado di attaccare dispositivi basati su diverse architetture hardware (ARMv5, ARMv7, Intel x86-64 e MIPS little-endian) e ha una struttura modulare che gli consente di ampliare le sue potenziali funzionalità malevole.

Stando a quanto riportato da alcuni analisti, tra cui Symantec, Hajime si è diffuso molto rapidamente negli ultimi mesi, prevalentemente in Brasile (19% delle infezioni rilevate), Iran (17%), Russia e Tailandia (11%), Turchia e Vietnam (8%), Argentina e Australia (7%), Cina e Taiwan (6%).

Quello che al momento risulta assente in Hajime è la capacità di lanciare attacchi DDoS. Per ora questo bot si è limitato a diffondersi infettando un numero sempre più elevato di dispositivi (si stima sia arrivato ad un totale di circa 100.000 dispositivi compromessi in tutto il mondo). Hajime si connette alla rete ogni 10 minuti e scarica il seguente messaggio, firmato digitalmente dall’autore, che viene mostrato sul terminale del dispositivo:

Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED
Stay sharp!

L’autore di Hajime si presenta come “white hat” (letteralmente “cappello bianco”), ossia un hacker etico che combatte gli abusi dei sistemi informatici. In realtà vi sono forti dubbi sull’identità e sulle reali intenzioni di questo soggetto anche se, a supporto della sua dichiarazione, Hajime blocca effettivamente sui dispositivi infetti l’accesso alle porte 23 (Telnet), 7547 (CPE WAN Management Protocol), 5555 (Oracle WebCenter Content) e 5358 (WSDAPI Applications) che corrispondo a servizi solitamente presi di mira dai bot IoT, incluso Mirai.

Al momento, quindi, lo scopo della botnet Hajime rimane misterioso, anche se la natura modulare del malware potrebbe consentire al suo autore di “cambiare cappello” in qualsiasi momento e trasformarlo in uno strumento per lanciare attacchi di vario tipo.

Quello a cui stiamo assistendo è dunque una sorta di disputa territoriale tra Hajime e Mirai. Data la natura non persistente di questi malware, il semplice riavvio (o reset) di un dispositivo infetto rimuove di fatto l’infezione ma lascia il sistema nuovamente vulnerabile e facile preda di uno dei vari bot che scansionano continuamente la rete alla ricerca di apparati IoT da attaccare.

In assenza di aggiornamenti specifici del firmware da parte del produttore, per proteggere i propri dispositivi IoT da questo tipo di minacce si raccomanda di procedere come segue:

  • modificare la password di accesso di default del dispositivo utilizzando una password robusta;
  • utilizzare una protezione crittografica forte per la rete Wi-Fi (WPA);
  • disabilitare Telnet ed utilizzare SSH per l’accesso ove possibile;
  • disabilitare funzionalità e servizi non richiesti ove possibile;
  • disabilitare la funzionalità Universal Plug and Play (UPnP) sui router se non strettamente necessaria;
  • utilizzare connessioni cablate invece che wireless ove possibile.

A livello di rete, si raccomanda di applicare dei filtri specifici alle richieste provenienti da indirizzi IP e domini associati alla botnet. Nel caso specifico di Hajime, è possibile applicare le seguenti contromisure:

  • bloccare i pacchetti UDP contenenti traffico P2P (in particolare quelli contenenti la chiave di scambio messaggi di Hajime [1]);
  • bloccare le connessioni TCP contenenti traffico riconducibile all’attacco (in particolare, la stringa /bin/busybox ECCHI inviata sulla porta 23);
  • bloccare la porta TCP 4636 usata dal programma downloader di Hajime (primo stadio dell’infezione).

Per un’analisi più dettagliata di Hajime, si suggerisce di prendere visione del rapporto originale pubblicato da Rapidity Networks.


1. La sequenza di byte:

00 00 00 21 00 00 c0 dd 26 97 c4 a1 7d f8 3f 36
a9 97 99 dd 38 49 58 72 84 90 fa c7 d1 31 82 05
2d 88 4e 6e 42 84

Notizie correlate

“Devil’s Ivy”: vulnerabilità della libreria gSOAP in dispositivi IoT

20 luglio 2017

È stata scoperta una grave vulnerabilità nella libreria gSOAP che potrebbe consentire ad un attaccante remoto di compromettere telecamere di sorveglianza e altri dispositivi IoT.Leggi tutto

Il malware Adylkuzz diffuso sfruttando gli stessi exploit di WannaCry

17 maggio 2017

Gli esperti di Proofpoint hanno scoperto un attacco di vaste proporzioni che sfrutta gli stessi exploit di WannaCry per diffondere il malware per il mining di criptovalute Adylkuzz.Leggi tutto

La botnet Persirai prende di mira telecamere IP wireless

11 maggio 2017

I ricercatori di Trend Micro hanno scoperto Persirai, una nuova botnet formata da dispositivi IoT di tipo telecamere IP wireless, in grado di lanciare attacchi DDoS.Leggi tutto