Un nuovo tipo di minaccia informatica, denominato NKAbuse, sta emergendo nel panorama della sicurezza digitale. Questo malware sfrutta un protocollo di connettività peer-to-peer decentralizzato noto come NKN (New Kind of Network) per le sue comunicazioni, rappresentando un serio rischio per i sistemi informatici, in particolare quelli basati su Linux.
Caratteristiche e Funzionalità di NKAbuse
NKAbuse si distingue per l’utilizzo della tecnologia NKN, che consente lo scambio di dati tra peer, funzionando come un potente impianto con capacità sia di flooder che di backdoor. La rete NKN, che conta oltre 62.000 nodi, è descritta come una “rete overlay software costruita sopra l’Internet attuale che permette agli utenti di condividere la larghezza di banda inutilizzata e guadagnare ricompense in token”. Incorpora uno strato blockchain sopra lo stack TCP/IP esistente.
Metodologia e Target del Malware
NKAbuse, implementato nel linguaggio di programmazione Go, sembra essere utilizzato principalmente per prendere di mira i sistemi Linux, inclusi i dispositivi IoT. Il malware utilizza il protocollo NKN per comunicare con il bot master e ricevere/inviare comandi. Non è ancora chiaro quanto siano diffusi gli attacchi, ma un caso identificato da Kaspersky ha coinvolto lo sfruttamento di una grave vulnerabilità di sicurezza di sei anni fa in Apache Struts (CVE-2017-5638, punteggio CVSS: 10.0) per violare un’azienda finanziaria non specificata.
Distribuzione e Persistenza
L’exploit di successo è seguito dalla consegna di uno script iniziale che è responsabile del download dell’impianto da un server remoto. Il server che ospita il malware contiene otto diverse versioni di NKAbuse per supportare varie architetture CPU. Un aspetto notevole è la mancanza di un meccanismo di auto-propagazione, il che significa che il malware deve essere consegnato a un bersaglio tramite un altro percorso di accesso iniziale, come lo sfruttamento di vulnerabilità di sicurezza.
Funzionalità Backdoor e Prospettive Future
NKAbuse incorpora anche una serie di funzionalità backdoor che gli permettono di inviare periodicamente un messaggio di heartbeat al bot master, contenente informazioni sul sistema, catturare screenshot dello schermo corrente, eseguire operazioni sui file e comandi di sistema. L’uso della tecnologia blockchain garantisce sia l’affidabilità che l’anonimato, indicando il potenziale per l’espansione costante di questa botnet nel tempo, apparentemente priva di un controllore centrale identificabile.