Close Menu
    SIOS24 WINTER
    Milano, 17 Dicembre 2024
    Prendi il tuo biglietto
    Giorni
    Ore
    Minuti
    Secondi
    Cybersecurity

    Mirai Okiru, il malware che infetta l’Internet delle cose

    Pierluigi Paganini4 Mins Read
    dump

    Il malware Mirai Okiru è praticamente sconosciuto alla quasi totalità dei sistemi antivirus. La scoperta

    firma email wapp 3

    Nell’estate del 2016 il cacciatore di malware e ricercatore @unixfreaxjp, membro del popolare gruppo di esperti @MalwareMustDie, allertò me ed il mio collega Odisseus circa la scoperta di un nuovo codice malevolo chiamato Mirai specificamente disegnato per colpire i sistemi dell’Internet delle Cose.

    Quel malware ha fatto la storia, numerose le vittime del codice malevolo, dal service provider francese OVH al servizio DYN DNS.
    Eccoci di nuovo a parlare con i medesimi attori di una nuova pericolosissima manaccia individuata da @unixfreaxjp. Si tratta di un nuovo malware sviluppato per infettare sistemi dell’Internet delle cose basati su CPU ARC. Questa nuova minaccia è stata battezzata MIRAI OKIRU, ed è un’evoluzione del bot Mirai, ed ancora una volta a darne la notizia in anteprima siamo stati io ed Odisseus.

    Come visibile nell’immagine sottostante, all’atto della scoperta il malware Mirai Okiru è praticamente sconosciuto alla quasi totalità dei sistemi antivirus.

    La pericolosità del malware

    La vera peculiarità del malware è proprio la capacità di infettare per la prima volta nella storia sistemi basati su CPU ARC.
    “!! Si prega di notare questo fatto ed essere pronti al peggio, l’impatto può essere maggiore dell’impatto sull’infezione Mirai tenendo presente che aggredisce dispositivi che non sono ancora stati infettati”. Ha detto # MalwareMustDie

    Cattura 1

    Il panorama delle minacce Linux per Internet delle Cose sta cambiando rapidamente, i criminali inizieranno a prendere di mira i dispositivi IoT basati sulla CPU ARC.
    “Da oggi, il panorama dell’infezione # Linux # IoT cambierà. ARC ha produce più di un miliardo di CPU all’anno per dispositivi IOT, normale che gli hacker vogliono puntare ad infettarli per reclutarli in mostruose DDoS botnet. Ci troviamo dinanzi ad una seria minaccia.! “Ha scritto MalwareMustDie.

    L’impatto sui dispositivi

    E’ stato stimato che i processori embedded ARC vengono prodotti in oltre 1,5 miliardi di pezzi all’anno. Ciò significa che il numero dei dispositivi potenzialmente esposti è enorme e una botnet così potente potrebbe essere utilizzata per una moltitudine di scopi dannosi, comprese attacchi di DDoS da cui difendersi potrebbe essere impossibile.

    “I processori embedded ARC ( Argonaut RISC Core) sono una famiglia di CPU a 32 bit originariamente progettata da ARC International. Sono ampiamente utilizzati nei dispositivi SoC per applicazioni di archiviazione, domotica, mobili, automotive e Internet of Things. I processori ARC sono utilizzati da più di 200 organizzazioni e vengono prodotti in oltre 1,5 miliardi di prodotti all’anno”. Si legge su Wikipedia.

    Immagini Okiru

    In dicembre una nuova variante della botnet Mirai era stata individuata, battezzata Mirai Satori, prese di mira principalmente Router Huawei sfruttando una falla nota. Tuttavia, secondo l’analisi di MalwareMustDie questa botnet è tecnicamente differente dalla nuova variante Okiru.
    Sono state individuate ben quattro tipologie di exploit per attacco a router relativi alla variante Okiru, nessuno dei quali risulta essere stato utilizzato da Satori.

    Cos’è successo dopo la scoperta

    Una volta appresa la notizia io e l’esperto Odisseus abbiamo immediatamente contattato l’esperto Gianni Amato del CERT-PA il quale si è immediatamente prodigato per la pubblicazione di un avviso.
    Stanotte, subito dopo la pubblicazione della notizia sul mio blog Securityaffairs, lo stesso è stato bersaglio di un potente attacco DDoS che ne ha inibito l’accesso per più di mezz’ora. Chiaramente l’intento era solo dimostrativo, una tale botnet avrebbe potuto arrecare danni ben maggiori.

    “I ricercatori MMD! che hanno già provveduto a rilasciare le regole Yara per individuare questa nuova variante di Mirai, hanno messo a confronto Okiru con la precedente botnet Mirai denominata Satori. Secondo quanto emerge dalle osservazioni dei ricercatori, la configurazione di Okiru è cifrata in due parti e l’attacco via Telnet risulta essere decisamente più incisivo visto che sfrutta una lista di oltre 100 credenziali (114 sono le credenziali conteggiate da MMD!)”. Informa l’avviso pubblicato dal CERT-PA.
    Di seguito sono riportate le regole Yara e gli indicatori di compromissione utilizzabili per l’individuazione della minaccia.

    Regole Yara
    https://github.com/unixfreaxjp/rules/blob/master/malware/MALW_Mirai_Okiru_ELF.yar

    Indicatori di Compromissione
    MD5: 9c677dd17279a43325556ec5662feba0
    MD5: 24fc15a4672680d92af7edb2c3b2e957

    Ultimo aggiornamento:
    Share.
    Avatar

    Potrebbero interessarti

    StartupItalia

    StartupItalia

    Privacy

    Cookie Policy

    PUBBLICITÀ SU STARTUPITALIA

    Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

    SCOPRI DI PIÙ

    StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012

    StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA – CA – 352408, Capitale Sociale: € 25.478,76, PEC startupitalia (at) legalmail.it

    Iscriviti alla nostra newsletter

    Rimani aggiornato sulle migliori notizie, approfondimenti, dati, eventi e opportunità del mondo dell’innovazione italiano e internazionale.

    CANALI

    CATEGORIE

    RUBRICHE

    UTILITY