Mirai Okiru, il malware che infetta l’Internet delle cose

Il malware Mirai Okiru è praticamente sconosciuto alla quasi totalità dei sistemi antivirus. La scoperta

Nell’estate del 2016 il cacciatore di malware e ricercatore @unixfreaxjp, membro del popolare gruppo di esperti @MalwareMustDie, allertò me ed il mio collega Odisseus circa la scoperta di un nuovo codice malevolo chiamato Mirai specificamente disegnato per colpire i sistemi dell’Internet delle Cose.

Quel malware ha fatto la storia, numerose le vittime del codice malevolo, dal service provider francese OVH al servizio DYN DNS.
Eccoci di nuovo a parlare con i medesimi attori di una nuova pericolosissima manaccia individuata da @unixfreaxjp. Si tratta di un nuovo malware sviluppato per infettare sistemi dell’Internet delle cose basati su CPU ARC. Questa nuova minaccia è stata battezzata MIRAI OKIRU, ed è un’evoluzione del bot Mirai, ed ancora una volta a darne la notizia in anteprima siamo stati io ed Odisseus.

Come visibile nell’immagine sottostante, all’atto della scoperta il malware Mirai Okiru è praticamente sconosciuto alla quasi totalità dei sistemi antivirus.

La pericolosità del malware

La vera peculiarità del malware è proprio la capacità di infettare per la prima volta nella storia sistemi basati su CPU ARC.
“!! Si prega di notare questo fatto ed essere pronti al peggio, l’impatto può essere maggiore dell’impatto sull’infezione Mirai tenendo presente che aggredisce dispositivi che non sono ancora stati infettati”. Ha detto # MalwareMustDie

Il panorama delle minacce Linux per Internet delle Cose sta cambiando rapidamente, i criminali inizieranno a prendere di mira i dispositivi IoT basati sulla CPU ARC.
“Da oggi, il panorama dell’infezione # Linux # IoT cambierà. ARC ha produce più di un miliardo di CPU all’anno per dispositivi IOT, normale che gli hacker vogliono puntare ad infettarli per reclutarli in mostruose DDoS botnet. Ci troviamo dinanzi ad una seria minaccia.! “Ha scritto MalwareMustDie.

L’impatto sui dispositivi

E’ stato stimato che i processori embedded ARC vengono prodotti in oltre 1,5 miliardi di pezzi all’anno. Ciò significa che il numero dei dispositivi potenzialmente esposti è enorme e una botnet così potente potrebbe essere utilizzata per una moltitudine di scopi dannosi, comprese attacchi di DDoS da cui difendersi potrebbe essere impossibile.

“I processori embedded ARC ( Argonaut RISC Core) sono una famiglia di CPU a 32 bit originariamente progettata da ARC International. Sono ampiamente utilizzati nei dispositivi SoC per applicazioni di archiviazione, domotica, mobili, automotive e Internet of Things. I processori ARC sono utilizzati da più di 200 organizzazioni e vengono prodotti in oltre 1,5 miliardi di prodotti all’anno”. Si legge su Wikipedia.

In dicembre una nuova variante della botnet Mirai era stata individuata, battezzata Mirai Satori, prese di mira principalmente Router Huawei sfruttando una falla nota. Tuttavia, secondo l’analisi di MalwareMustDie questa botnet è tecnicamente differente dalla nuova variante Okiru.
Sono state individuate ben quattro tipologie di exploit per attacco a router relativi alla variante Okiru, nessuno dei quali risulta essere stato utilizzato da Satori.

Cos’è successo dopo la scoperta

Una volta appresa la notizia io e l’esperto Odisseus abbiamo immediatamente contattato l’esperto Gianni Amato del CERT-PA il quale si è immediatamente prodigato per la pubblicazione di un avviso.
Stanotte, subito dopo la pubblicazione della notizia sul mio blog Securityaffairs, lo stesso è stato bersaglio di un potente attacco DDoS che ne ha inibito l’accesso per più di mezz’ora. Chiaramente l’intento era solo dimostrativo, una tale botnet avrebbe potuto arrecare danni ben maggiori.

“I ricercatori MMD! che hanno già provveduto a rilasciare le regole Yara per individuare questa nuova variante di Mirai, hanno messo a confronto Okiru con la precedente botnet Mirai denominata Satori. Secondo quanto emerge dalle osservazioni dei ricercatori, la configurazione di Okiru è cifrata in due parti e l’attacco via Telnet risulta essere decisamente più incisivo visto che sfrutta una lista di oltre 100 credenziali (114 sono le credenziali conteggiate da MMD!)”. Informa l’avviso pubblicato dal CERT-PA.
Di seguito sono riportate le regole Yara e gli indicatori di compromissione utilizzabili per l’individuazione della minaccia.

Regole Yara
https://github.com/unixfreaxjp/rules/blob/master/malware/MALW_Mirai_Okiru_ELF.yar

Indicatori di Compromissione
MD5: 9c677dd17279a43325556ec5662feba0
MD5: 24fc15a4672680d92af7edb2c3b2e957

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter