Non si ferma lo sfruttamento di dispositivi IoT (Internet of Things) per la costituzione di botnet. 

Benché già nota e corretta dal vendor, una vulnerabilità consente ancora oggi l’assorbimento in una botnet di numerosi dispositivi ancora vulnerabili di prodotti NVR (Network Video Recorder) di Hikvision, un grande produttore di prodotti di videosorveglianza con base in Cina. 

La campagna è ancora molto attiva e viene portata avanti mediante una botnet derivazione della conosciutissima Mirai e nota con il nome di Moobot. 

Come rilevato dai ricercatori di FortiGuard Labs, la botnet di questa campagna sfrutta una vulnerabilità nota dei prodotti Hikvision (CVE-2021-36260) che consente l’esecuzione remota di codice (RCE), pertanto è ovvio che, come primo obiettivo dello sfruttamento della stessa, la prima azione applicata contro l’obiettivo sia quella di iniettare il malware Moobot stesso per la propagazione della botnet stessa. L’assimilazione è così avvenuta, ed il destino del dispositivo è così legato alla botnet. 

Moobot, abbiamo detto, è una variante di Mirai (storico malware open-source e potentissima botnet per IoT) con tracce del codice Satori (una delle varianti Mirai note), ma al contrario della maggior parte delle botnet IoT (che sfruttano password deboli o predefinite), Mootbot si distingue per l'utilizzo di exploit 0-day, ed è pertanto interessante vedere come questa sia in continua evoluzione. 

Già da febbraio infatti Moobot aveva iniziato lo sfruttamento di 0-day per diversi tipi di router in fibra (GPoN) di differenti brand (per cui è ipotizzabile che siano prodotti OEM dello stesso fornitore originale). Sono poi seguiti attacchi in marzo contro dispositivi DVR e videocamere IP della LILIN (altro colosso cinese della videosorveglianza). 

Nel caso Hikvision, l’azione di Moobot si è concentra sul server web di gestione del dispositivo (non è in effetti una novità nel panorama delle vulnerabilità IoT, che in genere hanno servizi web realizzati mediante server embedded come Boa, obsoleti e pieni di difetti) quando questo server sia esposto su Internet (altro fenomeno assai diffuso come può evidenziare una rapida ricerca mediante strumenti online come Shodan). 

La vulnerabilità che ha consentito lo sfruttamento è classificata molto alta (9.8 su 10) in quanto realizza una delle più classiche code injection: via rete, semplice, senza privilegi richiesti o interazione utente ed impattando completamente sulla triade CIA. Il tutto è reso possibile per la insufficiente validazione dell’input, e naturalmente dalla costruzione ad arte di un messaggio capace di violare il sistema. Tutta questa ovvietà e semplicità rende ancora più rischioso il fenomeno (che è alla portata di qualsiasi agente di minaccia, anche privo di capacità tecniche specifiche). 

Anche in questo caso lo scopo della botnet sarà quello di eseguire attacchi DDoS, come dimostrato dagli analisti seguendo le tracce su un canale telegram di un fornitore di servizi DDoS chiamato "tianrian". Diverse fonti suggeriscono di prestare molta attenzione al panorama degli attacchi DDoS (riflessi e amplificati) come servizi, in quanto è un settore in grande crescita. È assolutamente evidente come lo sfruttamento dei dispositivi in rete come piattaforma per nuovi attacchi invece che come obiettivo sia la nuova frontiera della sicurezza. 

È assolutamente necessario dunque mantenere aggiornati i propri sistemi per evitare di prendere parte a questo gioco che evidentemente macina ingenti profitti per gli agenti di minaccia (anche semplicemente indiretti, vendendo i servizi possibili attraverso la botnet).

Tweet