Il numero di infezioni da malware che prendono di mira i dispositivi Linux è aumentato del 35% nel 2021, solitamente a danno di dispositivi IoT con attacchi DDoS (Distributed Denial of Service).
Gli IoT, come dispositivi smart, eseguono in genere varie distribuzioni Linux e sono limitati a funzionalità specifiche. Tuttavia, quando le loro risorse vengono combinate in grandi gruppi, possono fornire massicci attacchi DDoS anche a infrastrutture ben protette.
Oltre a DDoS, i dispositivi IoT Linux vengono reclutati anche per altre attività come minare criptovaluta, facilitare campagne di posta spam, fungere da relè, agire come server di comando e controllo o persino fungere da punti di ingresso nelle reti aziendali. Insomma un piccolo esercito al servizio di chi ha le competenze e capacità di attivarli.
Un rapporto di Crowdstrike esamina i dati sugli attacchi del 2021, li possiamo riassumere così:
- Nel 2021, rispetto al 2020, si è registrato un aumento del 35% del malware rivolto ai sistemi Linux;
- XorDDoS, Mirai e Mozi sono state le tipologie di attacco più diffuse, rappresentando il 22% di tutti gli attacchi malware mirati a Linux;
- Mozi, in particolare, ha avuto una crescita esplosiva della sua attività, con dieci volte più attacchi nel 2021 rispetto al 2020;
- XorDDoS ha avuto un notevole aumento anno su anno del 123%.
Panoramica dei malware utilizzati
XorDDoS è un trojan Linux versatile che funziona in più architetture di sistema Linux, da ARM (IoT) a x64 (server). Utilizza la crittografia XOR per le comunicazioni C2, da cui il nome. Quando attacca i dispositivi IoT, XorDDoS forza i dispositivi vulnerabili tramite SSH. Sulle macchine Linux, utilizza la porta 2375 per ottenere l’accesso root all’host senza password.
Un caso degno di nota della distribuzione del malware è stato individuato nel 2021, l’autore in quel caso era Winnti ed ha distribuito oltre al malware anche altri botnet.
Vale la pena ricordare il nostro approfondimento specifico sui botnet:
Mozi è una botnet P2P che si basa sul sistema di ricerca DHT (Distributed Hash Table) per nascondere le comunicazioni C2 sospette alle soluzioni di monitoraggio del traffico di rete. Questo botnet è in circolazione da un po’, sfrutta continuamente nuove vulnerabilità ed espande sempre di più i suoi target.
Mirai è un famigerato botnet che ha generato numerosi casi critici grazie al suo codice sorgente pubblicamente disponibile e continua ad affliggere soprattutto il mondo IoT.
I vari derivati implementano diversi protocolli di comunicazione C2, ma in genere sfruttano le credenziali deboli per attacchi di forza bruta sui vari dispositivi. Nel 2021 sono state avvistate diverse varianti di Mirai come Dark Mirai, che si concentra sui router domestici e Moobot, che prende di mira le telecamere.
Mihai Maganu, ricercatore di Crowdstrike, nel report specifico afferma: “Alcune delle varianti più diffuse monitorate dai ricercatori di Crowdstrike coinvolgono Sora, IZIH9 e Rekai…Rispetto al 2020, il numero di campioni identificati per tutte e tre le varianti è aumentato rispettivamente del 33%, 39% e 83% nel 2021”.
La tendenza continuerà nel 2022
I risultati di Crowdstrike non sono sorprendenti in quanto confermano una tendenza già emersa negli anni scorsi. Ad esempio un rapporto Intezer, che analizza le statistiche del 2020, ha rilevato che le famiglie di malware Linux sono aumentate del 40% nel 2020 rispetto all’anno precedente.
Nei primi sei mesi del 2020 è stato registrato un forte aumento del 500% del malware Golang, a dimostrazione del fatto che gli autori di malware stavano cercando modi per far funzionare il loro codice su più piattaforme.
Purtroppo l’utilizzo di Golang è già stato confermato in alcuni casi di inizio 2022 ed è probabile che questa tendenza continui.
Continueremo il monitoraggio sui malware Linux anche durante il 2022 per capire le novità e tendenze per i mesi futuri.