Satori, il presunto erede del famigerato malware dell’IoT Mirai, è stato scoperto dai ricercatori nel dicembre 2017. Il termine giapponese “satori” significa “illuminazione” o “comprensione”, sebbene l’evoluzione del malware che porta questo nome non sia improntata alla chiarezza. Ciascuna nuova versione si fonda su una combinazione inedita di piattaforme target, tecniche di propagazione e tipi […]

Satori, il presunto erede del famigerato malware dell’IoT Mirai, è stato scoperto dai ricercatori nel dicembre 2017. Il termine giapponese “satori” significa “illuminazione” o “comprensione”, sebbene l’evoluzione del malware che porta questo nome non sia improntata alla chiarezza. Ciascuna nuova versione si fonda su una combinazione inedita di piattaforme target, tecniche di propagazione e tipi di attacco. Rispetto ai software tradizionali, in cui le funzioni vengono aggiunte in maniera incrementale, Satori sembra essere al contempo all’avanguardia e obsoleto. È osservandone la storia che si può comprendere meglio questa minaccia in costante evoluzione.

Breve excursus storico sul malware dell’IoT. I titoli dei giornali dedicati a consistenti attacchi DDoS hanno attirato per la prima volta l’attenzione dell’opinione pubblica sulla sicurezza dell’IoT alla fine del 2016. Il malware in questione, denominato Mirai, a differenza della maggior parte delle minacce non andava a colpire Windows ma i punti deboli dei dispositivi IoT e di altri sistemi integrati. Questi dispositivi danno vita a grandi “zombie DDoS”, perché spesso sono dotati di una versione ridotta all’osso di Linux, sono collegati direttamente a Internet e possiedono soluzioni di sicurezza limitate.

Mirai, e la schiera delle sue imitazioni, funziona sulla base di principi simili:

  • Propagazione – I dispositivi infettati tentano di infettare altri dispositivi scelti casualmente. Mirai ha iniziato sfruttando normali accoppiate username/password tramite l’antiquato protocollo telnet. Le versioni più recenti, invece, per diffondersi si avvalgono delle vulnerabilità tipiche delle piattaforme, come i bug di command injection nell’interfaccia web dei router domestici.
  • Command & Control – Una volta che l’infezione è in atto, oltre a propagarsi il bot accede periodicamente a un sito di comando e controllo per gli aggiornamenti e i comandi di attacco.
  • Attacco – Quando il Command & Control impartisce l’ordine, i bot lanciano un flusso di traffico di attacchi coordinati rivolti alla vittima. Nello specifico, può trattarsi di un flusso di pacchetti TCP con appositi set di flag, pacchetti UDP, richieste HTTP oppure di altri attacchi più complessi.

Gli autori di Mirai hanno infine pubblicato il codice sorgente del malware, con il quale – chiunque sappia utilizzare un compilatore – è in grado di creare un proprio sito di Command & Control e realizzare velocemente un botnet Mirai. Chi possiede competenze tecniche più approfondite riesce persino ad aggiungere nuovi metodi di propagazione, protocolli di comando e controllo e nuovi tipi di attacco.

Satori. I ricercatori di Netscout Arbor hanno scoperto per la prima volta Satori nel dicembre 2017 e da quel momento ne sono già state individuate altre versioni. La prima versione di Satori scoperta si differenziava da Mirai perché il metodo di propagazione adottato mirava a due vulnerabilità nei dispositivi dell’IoT: uno “zero-day” nel gateway locale di Huawei e una vulnerabilità già nota nell’esecuzione dei comandi nell’interfaccia UPNP SOAP di Realtek. In entrambi i casi il target era costituito da due tipi di dispositivi molto specifici, a differenza di Mirai che va a infettare qualsiasi dispositivo che presenti username e password telnet di default o facilmente indovinabili. Sebbene sia evidente che Satori abbia riutilizzato almeno in parte il codice Mirai pubblico, sono stati i suoi target così precisi ad attirare l’attenzione dei ricercatori.

Altre versioni di Satori, forse per intorbidire ulteriormente le acque, effettivamente sfruttano telnet per propagarsi, ma con un elenco di username e password più sofisticati.

Il malware dell’IoT, Satori compreso, si abbatte su una vittima con un formato compilato e pronto all’uso. In altre parole, si tratta di un eseguibile Linux compilato appositamente per l’architettura della vittima predestinata. Ad esempio, un eseguibile compilato per processori x86 non può funzionare in un dispositivo ARM. Prima di sferrare il payload sia Mirai sia Satori mettono alla prova la vittima al fine di capire quale versione precompilata del binario Mirai scaricare ed eseguire. Satori ha alzato ulteriormente l’asticella introducendo nuove architetture: superh ed ARC. Non è chiaro se coloro che operano all’ombra di Satori lo abbiano fatto perché esiste una popolazione vulnerabile o soltanto perché speravano che ci fosse.

Mitigazione degli attacchi DDoS. Poiché tutte le varianti di Satori sfruttano sottoinsiemi diversi del codice degli attacchi DDoS Mirai, l’ormai comprovato dispositivo per la mitigazione degli attacchi DDoS basati su Mirai è ancora efficace.

Inoltre, la costante espansione del malware capace di sferrare attacchi DDoS contro processori con architetture diverse ribadisce ancora una volta la necessità che gli operatori di rete adottino BCP di rete. Benché Mirai abbia mostrato un’affinità nei confronti di telecamere IPTV e videoregistratori digitali con password deboli, gli aggressori informatici ricevono una taglia quando mirano a dispositivi ancora illesi. Dal momento che gli autori del malware si orientano su processori ARC e altri processori integrati, il malware capace di sferrare attacchi DDoS è in grado di stravolgere un bacino più ampio di dispositivi collegati a Internet quali telefoni, console di gioco e simili. Gli operatori di rete sono dunque costretti a rivedere le proprie strategie difensive in modo da proteggersi anche dai dispositivi interni ormai compromessi, come quelli che non possono essere individuati semplicemente seguendo un cavo. Il danno collaterale legato esclusivamente ad attività di scansione e di attacco DDoS in uscita può essere debilitante se non vengono implementate proattivamente le migliori pratiche correnti (BCP) dedicate alle operazioni e alle architetture di rete.

Conclusioni. Sebbene le conseguenze legate al malware dell’IoT siano evidenti, il panorama delle minacce è in costante evoluzione. Gli elementi più deboli, ossia username e password di default, sono già ampiamente oggetto di attacco; di conseguenza, gli aggressori cercano nuove vie di attacco, come ad esempio le vulnerabilità presenti nei dispositivi stessi. Questa svolta concretizza il presagio lanciato nel mondo da Mirai nel 2016: i dispositivi dell’IoT non sono sicuri e saranno violati. Prevediamo che i tre principi fondanti del malware dell’IoT (propagazione, Command & Control, e attacchi) restino invariati, ma che nel tempo diventino maggiormente sofisticati e si evolvano.

Kirill Kasavchenko, ‎Principal Security Technologist, EMEA, NETSCOUT Arbor, ha commentato: “Da questa ricerca emerge che, poiché il nuovo malware si fonda spesso su codici esistenti, una volta che si è introdotto in un terreno nuovo altri autori riescono a espandere con maggiore facilità le potenziali popolazioni di botnet. Con l’avvento di questa variante di Satori specifica per i dispositivi ARC dobbiamo aspettarci che il malware si concentri sempre più sui dispositivi dell’IoT. In caso di attacchi andati a buon fine le conseguenze possono essere devastanti. Sulla scorta delle stime di mercato, ogni anno vengono spediti 1,9 miliardi di prodotti basati sullo standard ARC: questa può essere la scala di un potenziale attacco.

“I criminali più sofisticati si sono evoluti dalla semplice violazione di username e password di default nello spazio dell’IoT; di conseguenza, siamo testimoni della nascita di una nuova era di cyberattacchi. Sempre più gli hacker sfruttano le vulnerabilità insite nei dispositivi; di conseguenza, dobbiamo prestare attenzione ai rischi legati ai dispositivi dell’IoT. Le strategie di difesa devono tenere conto dei dispositivi interni compromessi, in modo da poter mettere in campo le soluzioni di protezione più idonee”.