Non è la prima volta che accade, ma ci risiamo!
Era il lontano 2016 quando il codice sorgente del malware alla base della botnet Mirai fu sottratto agli autori e finì pubblicato sulla piattaforma github (https://github.com/jgamblin/Mirai-Source-Code). Questo è evidente portò ad una più rapida evoluzione del fenomeno: la possibilità di avere questa piattaforma software consentitì a differenti attori di produrre una propria variante del malware Mirai (Moobot, Satori, Masuta, ecc), ognuna con proprie funzionalità e caratteristiche che le rese uniche e sempre più aggressive. Il risultato: l’esplosione di milioni di infezioni.
Il terreno di cultura per queste infezioni è stato ed è il mondo IoT, ormai proverbialmente noto per essere refrattario ai più ordinari e semplici principi di sicurezza.
Medesimo destino sembra ora aver portato un'altra vecchio gloria del mondo del malware orientato all’IoT al medesimo approdo.
Correva il 2021 quando i laboratori Alien Labs della AT&T scoprivano il primo malware realizzato nel linguaggio di programmazione golang (Mirai era in C), il linguaggio di programmazione open-source di Google: https://cybersecurity.att.com/blogs/labs-research/att-alien-labs-finds-new-golang-malwarebotenago-targeting-millions-of-routers-and-iot-devices-with-more-than-30-exploits. Chiamarono questo codice appunto BotenaGo, dimostrando l’essenza differente rispetto a Mirai, non solo nel linguaggio adottato per lo sviluppo, ma anche per le tecniche e tattiche di diffusione.
Solo di recente però gli stessi laboratori di Alien Labs hanno scoperto che anche il software golang di BotenaGo è stato caricato (in effetti già nel 2016) su github: https://github.com/Egida/kek/blob/19991ef983f838287aa9362b78b4ed8da0929184/loader_multi.go.
Tutto questo mette in evidenza un problema fondamentale: se da un lato i sorgenti disponibili rafforzano la capacità di individuare i primi ceppi dell’infezione in maniera sempre più raffinata, dall’altro abbiamo che sempre un più alto numero di agenti di minaccia è in grado di porre impercettibili o sostanziali modifiche a questi sorgenti per condurre campagne di attacco con strumenti completamente sconosciuti agli strumenti di difesa pur rimanendo essenzialmente fedeli all’impianto generale, per obiettivi e finalità.
Contrariamente al codice di Mirai, questo è estremamente più sintetico (2891 righe) e basato su un linguaggio che consente più rapide evoluzioni verso tattiche di attacco innovative con una notevole riduzione dello sforzo (visto il linguaggio di più alto livello utilizzato). Non deve pertanto stupire come una delle tante nuove varianti di BotenaGo sia stata già adattata ad utilizzare la recente vulnerabilità di Log4j, mostrando uno degli IoC relativi ad attacchi collegati a questa vulnerabilità tra i suoi indirizzi dei payload server, ossia i server da cui scaricare il codice malevolo da applicare in una fase di attacco.
Insomma, la nuova frontiera dei malware sembra diventare l’open source: la forma originale dilaga velocemente verso nuove varianti inafferrabili dai sistemi AV, sempre più in costante ritardo rispetto ad un fenomeno evolutivo su larga scala quale può essere questa nuova prospettiva di implementazione di uno strumento di minaccia “a basso costo”.
