Wicked Mirai, la nuova variante della botnet Mirai preoccupa gli esperti

Gli esperti di sicurezza di Fortinet hanno individuato una nuova variante della pericolosa botnet Mirai, denominata “Wicked Mirai”, che include nuovi exploit (codici per sfruttare una vulnerabilità di un sistema attaccato) e diffonde un nuovo bot (il codice malevolo di una botnet).

Che cos’è Wicked Mirai

Il nome Wicked Mirai deriva dalle stringhe trovate nel codice sorgente, gli esperti hanno scoperto che questa nuova variante include almeno tre nuovi exploit rispetto a quello originale.

“Il team di FortiGuard Labs ha osservato un numero crescente di varianti Mirai, dovute al fatto che il codice sorgente è stato reso pubblico due anni fa”, si legge nell’analisi pubblicata da Fortinet.

“Alcuni hanno apportato modifiche significative, ad esempio aggiungendo la capacità di trasformare i dispositivi infetti in eserciti di proxy malware e miner. Altri hanno integrato il codice Mirai con diversi exploit che hanno come obiettivo sia le vulnerabilità note che quelle sconosciute, simile a una nuova variante scoperta recentemente da FortiGuard Labs, che ora chiamiamo WICKED. “

La botnet Mirai è stata avvistata per la prima volta nel 2016 dagli esperti del team di ricerca MalwareMustDie, al tempo essa veniva utilizzata per lanciare attacchi DDoS contro varie obiettivi. Il codice sorgente Mirai è stato diffuso online nell’ottobre 2016, da allora molte altre varianti sono emerse, tra cui Satori, Masuta, and Okiru.

Secondo Fortinet, l’autore del Wicked Mirai è lo stesso delle altre varianti.

Le botnet Mirai sono solitamente composte da tre moduli principali denominati rispettivamente “Attack”, “Killer” e “Scanner” per le funzioni che assolvono. Fortinet ha concentrato le sue analisi sul modulo Scanner responsabile della propagazione del malware.

La variante originale di Mirai utilizza attacchi di forza bruta per tentare di compromettere altri dispositivi IOT, mentre la versione Mirai WICKED utilizza exploit noti, ovvero codici in grado di sfruttare falle di cui la comunità di sicurezza è a conoscenza.

La nuova variante Wicked Mirai scansiona le porte 8080, 8443, 80 e 81 avviando una connessione SYN socket raw a tutti i dispositivi dell’internet delle cose (IoT) che trova online. Una volta stabilita una connessione, il malware (bot) tenterà di sfruttare il dispositivo e scaricarne un altro codice malevolo utilizzando gli exploit sul socket tramite la funzione syscall write ().

Quali dispositivi prende di mira  Wicked Mirai

Gli esperti hanno scoperto che l’exploit utilizzato dalla nuova variante dipende dalla specifica porta a cui il bot è in grado di connettersi. Di seguito l’elenco dei dispositivi presi di mira dalla botnet Wicked Mirai

• Porta 8080: router Netgear DGN1000e DGN2200 v1 (utilizzato anche dalla botnet Reaper )
• Porta 81: sfruttamento di una falla per l’esecuzione di codice remoto in su dispositivi di video sorveglianza (CCTV-DVR)
• Porta 8443: Netgear R7000 e R6400 attraverso lo sfruttamento di della vulnerabilità Command Injection ( CVE-2016-6277)
• Porta 80: shell in server Web compromessi

L’analisi iniziale ha rivelato la presenza nel codice della stringa SoraLOADER, indizio che suggeriva il coinvolgimento della botnet Sora, tuttavia ulteriori indagini hanno permesso ai ricercatori di contraddire questa ipotesi e di scoprire che il codice malevolo tenta la connessione ad un dominio malevolo per scaricare il codice di un’altra botnet, la variante Owari Mirai.

“Dopo che uno degli exploit presenti nel codice ha successo, il bot scarica il suo payload da un sito Web dannoso , in questo caso, hxxp: // 185 [.] 246 [.] 152 [.] 173 / exploit / owari. {Extension}. Ciò rende evidente che cerca di scaricare il bot Owari, un’altra variante Mirai, invece del codice della botnet Sora. ” recita l’analisi.

“Tuttavia, al momento dell’analisi, gli esempi di bot Owari non erano più disponibili nella directory del sito web. Successivamente, si è scoperto che sono stati sostituiti dagli esempi mostrati di seguito, che sono stati individuati come apparteneti ad una variante Mirai denominata Omni.”

L’analisi della cartella / bins del sito Web ha rivelato la presenza di altri campioni Omni, che includono il codice per lo sfruttamento della vulnerabilità CVE-2018-10561 .

Cercando un collegamento tra le varianti Mirai individuate, ovvero Wicked, Sora, Owari e Omni, i ricercatori di sicurezza dell’azienda Fortinet hanno trovato un’intervista con l’autore della variante Owari / Sora IoT Botnet risalente ad aprile.

Lo sviluppatore, che utilizza lo pseudonimo di “Wicked”, ha dichiarato nell’intervista di aver abbandonato lo sviluppo della botnet Sora per dedicarsi alla variante Owari.

Dall’intervista emerge che l’autore ha di fatto abbandonato entrambi i progetti Sora e Owari, per dedicarsi alla botnet Omni.

“Sulla base delle dichiarazioni dell’autore nell’intervista sopra menzionata riguardo alle diverse botnet ospitate nello stesso server, possiamo sostanzialmente confermare che l’autore delle botnet Wicked, Sora, Owari e Omni è lo stesso. Questo ci porta anche alla conclusione che mentre il bot WICKED originariamente era destinato a distribuire la botnet Sora, è stato successivamente modificato dall’autore per la distribuzione di altre botnet”, conclude Fortinet.

Le osservazioni degli esperti

A questo punto per completare l’eccellente analisi di Fortinet ho ritenuto necessario contattare gli esperti del gruppo MalwareMustDie (MMD), che ricordo essere coloro che per primi analizzarono la botnet Mirai pubblicando l’analisi sul mio blog.

Di seguito alcune osservazioni degli esperti:

• Le botnet sono state sviluppate dalla stessa persona.
• L’autore ha inserito nell’ultima variante tutti gli exploit in suo possesso e pubblicamente disponibili per aumentare la capacità di propagazione.
• Lo sfruttamento delle falle nei router GPON pur apparentemente fuori dal consueto schema utilizzato dall’autore per Mirai è stato realmente usato per infettare dispositivi con la botnet Mirai.

I ricercatori di MalwareMustDie mi hanno detto che hanno individuato l’identità dell’autore e l’hanno fornita alle autorità di diversi paesi da tempo, tuttavia l’azione delle autorità evidentemente è stata infruttuosa. Gli esperti mi hanno mostrato un rapporto ufficiale da loro inviato alle autorità statunitensi datato gennaio 2018, quando informarono loro della diffusione di nuove varianti Mirai.

“L’identità dell’attore è stato trasmesso alle forze dell’ordine del suo paese dal nostro team ne era a conoscenza da quando aveva analizzato la variante Satori / Okiru, molto prima addirittura che una variante mirai prendesse di mira per la prima volta le CPU basate su architettura ARC.” Conclude MMD.

“Quindi, con il rilascio di OWARI, SORA e WICKED, questo è ciò che accadrà se non contrasteremo gli attacchi del malware. I danni saranno ingenti e semplicemente non sapremo come fermare l’azione dei criminali.”

MMD invita tutti a considerare seriamente la minaccia Mirai e delle varie varianti da essa derivate, tutti abbiamo avuto modo di valutare gli effetti devastanti dei suoi attacchi ed onde evitare futuri incidenti occorre muoversi per tempo con una azione internazionale per neutralizzare definitivamente questa minaccia.