Un gruppo di ricercatori di Juniper Threat Labs hanno scoperto un nuovo worm, battezzato Gitpaste-12, che utilizza piattaforme quali GitHub e Pastebin per ospitare i suoi componenti e che è in grado di sfruttare una dozzina di vulnerabilità note per aggredire dispositivi hardware come router, telecamere IP, server web, database.
Esaminando il codice alla base del funzionamento del malware, è evidente come gli aggressori intendano estendere gli attacchi ad altre tipologie di dispositivi. Si trovano riferimenti a server Linux x86 oltre che a device IoT ARM e MIPS.
La botnet di Gitpaste-12 ovvero la rete di dispositivi infetti attingeva al contenuto di repository GitHub e URL Pastebin per ricevere indicazioni sulle operazioni da eseguire e nuovi moduli per adattare il funzionamento del codice malevolo installato sui device.
L’attacco iniziale avviene utilizzando una serie di vulnerabilità di sicurezza note e, talvolta, viene utilizzata la tecnica brute force per superare meccanismi di autenticazione basati sull’utilizzo di credenziali deboli. Una volta avvenuta l’infezione, come accennato in precedenza, viene fatto ricorso alle informazioni pubblicate su GitHub e Pastebin per adattare il comportamento del malware che comunque provvede a disattivare firewall e software per la sicurezza (prevenzione e monitoraggio del sistema e della rete).
Nell’analisi pubblicata da Juniper si può trovare la lista delle vulnerabilità attualmente sfruttate che riguardano alcuni router Asus, la funzionalità UPnP nel caso di alcuni router DLink, router Tenda, Netlink GPON, Huawei oltre agli encoder video HiSilicon, ad Apache Struts, al plugin Webadmin per opendreambox, ad alcune videocamere IP e ad altri componenti.
È quindi fondamentale assicurarsi che tutti i dispositivi collegati alla propria rete utilizzino gli aggiornamenti di sicurezza rilasciati dai produttori, specie se si usassero prodotti nell’elenco condiviso da Juniper.
Gitpaste-12 è un worm perché una volta infettato un sistema va automaticamente alla ricerca di altre potenziali vittime da aggredire e aggiungere alla botnet.
È importante tenere la guardia alta perché sono pochi (al momento si contano sulle dita di una mano) i motori di scansione antimalware che riescono a rilevare e bloccare Gitpaste-12.
Ovviamente tutti gli URL su GitHub e Pastebin al momento usati dal malware sono stati nel frattempo bloccati e rimossi.