I ricercatori hanno rivelato un malware multipiattaforma mai visto prima che ha infettato un’ampia gamma di dispositivi Linux e Windows, tra cui piccoli router da ufficio, macchine FreeBSD e grandi server aziendali. Black Lotus Labs, il braccio di ricerca della società di sicurezza Lumen, ha chiamato il malware Chaos, una parola che compare ripetutamente nei nomi delle funzioni, nei certificati e nei nomi dei file utilizzati. Chaos è emerso non più tardi del 16 aprile, quando il primo cluster di server di controllo è entrato in funzione. Da giugno a metà luglio, i ricercatori hanno trovato centinaia di indirizzi IP unici che rappresentano dispositivi Chaos compromessi. I server di staging utilizzati per infettare nuovi dispositivi sono aumentati a dismisura negli ultimi mesi, passando da 39 in maggio a 93 in agosto. Martedì scorso, il numero era arrivato a 111.
Black Lotus ha osservato interazioni con questi server di staging sia da dispositivi Linux embedded che da server aziendali, tra cui uno in Europa che ospitava un’istanza di GitLab. Ci sono più di 100 campioni unici in circolazione. “La potenza del malware Chaos deriva da alcuni fattori”, hanno scritto i ricercatori di Black Lotus Labs in un post sul blog di mercoledì mattina. “In primo luogo, è progettato per funzionare su diverse architetture, tra cui: ARM, Intel (i386), MIPS e PowerPC, oltre ai sistemi operativi Windows e Linux. In secondo luogo, a differenza di botnet di distribuzione di ransomware su larga scala come Emotet, che sfruttano lo spam per diffondersi e crescere, Chaos si propaga attraverso CVE note e brute forced, nonché chiavi SSH rubate”. I CVE si riferiscono al meccanismo utilizzato per tracciare specifiche vulnerabilità. Il rapporto di mercoledì ne citava solo alcune, tra cui CVE-2017-17215 e CVE-2022-30525 che interessano i firewall venduti da Huawei e CVE-2022-1388, una vulnerabilità estremamente grave nei bilanciatori di carico, nei firewall e nei dispositivi di ispezione di rete venduti da F5. Anche le infezioni SSH che utilizzano il brute-forcing delle password e le chiavi rubate consentono a Chaos di diffondersi da una macchina all’altra all’interno di una rete infetta.
Chaos ha anche diverse capacità, tra cui l’enumerazione di tutti i dispositivi connessi a una rete infetta, l’esecuzione di shell remote che consentono agli aggressori di eseguire comandi e il caricamento di moduli aggiuntivi. Queste capacità, unite alla capacità di funzionare su un’ampia gamma di dispositivi, hanno portato Black Lotus Labs a sospettare che Chaos “sia opera di un attore criminale informatico che sta coltivando una rete di dispositivi infetti da sfruttare per l’accesso iniziale, gli attacchi DDoS e il mining di criptovalute”, hanno dichiarato i ricercatori dell’azienda. Black Lotus Labs ritiene che Chaos sia un’emanazione di Kaiji, un software botnet per server AMD e i386 basati su Linux per l’esecuzione di attacchi DDoS. Da quando è nato, Chaos ha acquisito una serie di nuove funzionalità, tra cui moduli per nuove architetture, la capacità di funzionare su Windows e la capacità di diffondersi attraverso lo sfruttamento di vulnerabilità e la raccolta di chiavi SSH. Gli indirizzi IP infetti indicano che le infezioni di Chaos sono maggiormente concentrate in Europa, con punti caldi più piccoli in Nord e Sud America e nell’Asia Pacifica.
Scrivono i ricercatori di Black Lotus Labs:
Nelle prime settimane di settembre, il nostro emulatore di host Chaos ha ricevuto diversi comandi DDoS che hanno preso di mira circa due dozzine di domini o IP di organizzazioni. Utilizzando la nostra telemetria globale, abbiamo identificato diversi attacchi DDoS che coincidono con il periodo, l’IP e la porta dei comandi di attacco ricevuti. I tipi di attacco erano generalmente multivettoriali e sfruttavano UDP e TCP/SYN su più porte, spesso aumentando di volume nel corso di più giorni. Tra le entità prese di mira figurano i giochi, i servizi finanziari e tecnologici, i media e l’intrattenimento e l’hosting. Abbiamo anche osservato attacchi rivolti a fornitori di DDoS-as-a-service e a uno scambio di criptovalute. Complessivamente, i bersagli hanno interessato l’area EMEA, APAC e Nord America. Una società di giochi è stata bersaglio di un attacco misto UDP, TCP e SYN sulla porta 30120. Dal 1° al 5 settembre, l’organizzazione ha ricevuto un’ondata di traffico superiore al volume tipico. Una ripartizione del traffico per il periodo precedente e successivo all’attacco mostra un’ondata di traffico inviato alla porta 30120 da circa 12.000 IP distinti, anche se parte di questo traffico potrebbe essere indicativo di spoofing IP. Alcuni dei bersagli includevano fornitori di servizi DDoS-as-a-service. Uno di questi si presenta come un importante stressor e booter IP che offre l’aggiramento di CAPTCHA e capacità DDoS “uniche” a livello di trasporto. A metà agosto, la nostra visibilità ha rivelato una massiccia impennata del traffico, circa quattro volte superiore al volume più alto registrato nei 30 giorni precedenti. Le due cose più importanti che si possono fare per prevenire le infezioni da Chaos sono mantenere tutti i router, i server e gli altri dispositivi completamente aggiornati e utilizzare password forti e l’autenticazione multifattoriale basata su FIDO2 quando possibile. Un promemoria per i proprietari di router di piccoli uffici: La maggior parte del malware dei router non può sopravvivere a un riavvio. Considerate di riavviare il vostro dispositivo ogni settimana circa. Chi utilizza SSH dovrebbe sempre utilizzare una chiave crittografica per l’autenticazione.
