Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

IoTroop: scoperta vasta botnet di dispositivi IoT

botnet  IoT  IoTroop  Reaper   lunedì, 23 ottobre 2017

Ricercatori di sicurezza di Check Point e della società cinese Qihoo 360 hanno individuato una nuova pericolosa botnet formata da dispositivi IoT, battezzata IoTroop (o Reaper), che si sta evolvendo e propagando ad un ritmo molto maggiore rispetto a quello impiegato da Mirai, un’altra botnet dalle caratteristiche similari che ha causato seri danni alla rete un anno fa mediante massicci attacchi DDoS.

Anche se ancora in una fase iniziale di sviluppo, i danni potenziali che potrebbero derivare da questa nuova minaccia potrebbero essere molto più vasti di quelli osservati nel 2016. Stando a quanto riportato dagli analisti, la botnet IoTroop/Reaper sembrerebbe aver già colpito un milione di organizzazioni in tutto il mondo, principalmente negli Stati Uniti e in Australia.

Il malware associato a questa campagna, pur ereditando parte del codice sorgente di Mirai, presenta alcune differenze sostanziali. A differenza di Mirai, IoTroop/Reaper non ricerca dispositivi IoT con credenziali di autenticazione deboli, ma sfrutta unicamente vulnerabilità note presenti nei diversi firmware. In questo modo le scansioni risultano meno aggressive, riducendo la possibilità di essere intercettate dai sistemi anti-intrusione. Inoltre, la presenza nel codice del malware di un ambiente di programmazione integrato Lua può consentire l’esecuzione di attacchi molto più complessi.

Il malware IoTroop/Reaper è in continua evoluzione e i suoi autori aggiungono sempre nuovi moduli che integrano exploit per vulnerabilità note di dispositivi wireless di numerosi produttori, tra i quali GoAhead, D-Link, TP-Link, AVTECH, Netgear, MikroTik, Linksys e Synology. I dispositivi coinvolti includono router Wi-Fi, telecamere IP, telecamere di sorveglianza a circuito chiuso (CCTV), videoregistratori digitali (DVR) e videoregistratori di rete (NVR).

Le compromissioni provengono da fonti diverse, tra cui altri dispositivi IoT. Da un’analisi effettuata da Check Point su un attacco lanciato a telecamere IP prodotte da GoAhead, per esempio, è stato rilevato lo sfruttamento della vulnerabilità CVE-2017-8225 per penetrare nel dispositivo che, una volta compromesso, ha iniziato a sua volta a cercare altri dispositivi da infettare.

In termini di potenzialità di attacco, anche se nel codice Lua del malware sono state individuate funzionalità specifiche per attacchi DDoS, al momento non sono stati rilevati attacchi reali provenienti da questa botnet, segno che gli attaccanti sono ancora concentrati sulla fase di diffusione di questa minaccia.

Per maggiori informazioni su IoTroop/Reaper, inclusi svariati IoC, è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Vulnerabilità multiple in Samsung SmartThings Hub

27 luglio 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto numerose vulnerabilità nel controller centralizzato SmartThings Hub di Samsung.Leggi tutto