I ricercatori di Akamai Technologies hanno scoperto l’esistenza di una botnet costruita infettando essenzialmente router e dispositivi di storage (NAS) basati su kernel Linux. La rete di dispositivi zombie, amministrati da remoto da un gruppo di criminali informatici, è stata realizzata sferrando una serie di attacchi brute forcing sulle interfacce SSH dei terminali poi aggrediti.
L’attacco di tipo brute forcing mirava appunto a risalire alle password utilizzate a protezione dell’accesso SSH nel caso di migliaia e migliaia di dispositivi hardware costantemente collegati alla rete Internet.
L’utilizzo delle credenziali altrui, “indovinate” dagli aggressori, ha consentito di prendere il controllo su router e NAS accedendo alla relativa interfaccia di amministrazione, da riga di comando, e disponendo il download ed il caricamento di codice dannoso.
Per nascondere la presenza del malware sui device infettati, gli aggressori hanno anche fatto uso di alcune tecniche largamente impiegate nello sviluppo dei rootkit.
La botnet scoperta da Akamai Technologies è stata battezzata XOR DDoS perché utilizzata per mettere temporaneamente fuori uso diversi siti web, principalmente legati al mondo videoludico e della didattica.
La botnet è stata utilizzata per sferrare circa 20 attacchi giornalieri sviluppando un traffico dati fino a 150 Gbps.
XOR DDoS conferma la tendenza, sempre più in voga, che vede sempre più bersagli d’attacco tutti quei terminali Linux che non sono stati configurati in maniera adeguata o che soffrono di vulnerabilità intrinseche (generalmente risolvibili attraverso l’aggiornamento del firmware).
La scelta di password sufficientemente “forti” resta sempre un punto debole (Memorizzare password e gestirle in sicurezza) ma è altrettanto comune la disattenzione degli utenti nell’applicare tempestivamente gli aggiornamenti di sicurezza per router e NAS: Proteggere router, ecco le regole d’oro.