All’inizio di gennaio, il sistema honeypot di Bitdefender ha scoperto la nuova botnet IoT Hide and Seek, che ha rapidamente ottenuto notorietà dopo aver infettato oltre 90.000 dispositivi nel giro di pochi giorni. Mentre la prima variante effettuava attacchi brute force attraverso il servizio Telnet per collegarsi ad altri apparecchi, aggiornamenti successivi hanno iniziato a utilizzare nuovi exploit in grado di inserire comandi nell’interfaccia web dei dispositivi, consentendo alla botnet di infettare anche le telecamere IPTV.
I campioni recentemente identificati aggiungono funzionalità sfruttando la caratteristica Android Debug Bridge (ADB) su Wi-Fi presente nei dispositivi Android e normalmente utilizzata dagli sviluppatori per la risoluzione dei problemi. Normalmente disabilitata per impostazione predefinita, in alcuni dispositivi Android la funzione è invece attiva, esponendo così gli utenti a connessioni remote attraverso l’interfaccia ADB accessibile usando la porta TCP 5555. Qualsiasi connessione remota al dispositivo viene effettuata senza autenticazione. In questo modo è possibile accedere alla shell e consentire agli hacker di effettuare praticamente qualsiasi attività in modalità amministratore.
Esporre questo protocollo su Internet senza autenticazione è sconcertante e pericoloso. Non è una vulnerabilità intrinseca del sistema Android, ma una funzione che il produttore ha probabilmente dimenticato di disabilitare prima di mettere in commercio i dispositivi.
La “radice” di tutti i mali
Anche se la vulnerabilità dei dispositivi Android tramite la funzione ADB su Wi-Fi è stata segnalata all’inizio di giugno, non è ancora stata risolta. Sfruttata per la prima volta dai miner di criptovalute nello stesso periodo, il problema è particolarmente preoccupante poiché consente agli aggressori di installare ed eseguire furtivamente su alcuni dispositivi funzioni con privilegi “root” o amministratore senza autenticazione.
La botnet Hide and Seek ha già compromesso una grande quantità di dispositivi collegati a Internet e, secondo una rapida ricerca su Shodan, il recente aggiornamento potrebbe consentire di infettare 40.000 nuovi dispositivi. Sebbene la maggior parte degli apparecchi minacciati si trovino in Taiwan, Corea e Cina, alcuni prodotti a rischio sembrano trovarsi negli Stati Uniti e in Russia.
Alcuni di questi potrebbero essere collegati direttamente a Internet, mentre altri trovarsi dietro un router. Tuttavia, questo non li rende immuni, poiché i router sono tra gli apparecchi Internet più a rischio e, secondo una ricerca di Bitdefender, costituiscono il 59.45% dei 10 dispositivi più vulnerabili.
Ciò significa che il numero di apparecchi a rischio potrebbe essere sensibilmente maggiore, consentendo alla botnet Hide and Seek di infettare decine di migliaia di nuovi bot in più rispetto alle 40.000 unità stimate da Shodan.
Non sono solo gli smartphone Android a essere minacciati, ma anche Smart TV, DVR e praticamente qualsiasi dispositivo dotato della funzione ADB su Wi-Fi.
Considerando le informazioni raccolte, possiamo ipotizzare che gli hacker aggiungano costantemente nuove funzionalità per “schiavizzare” il maggior numero di dispositivi possibile, anche se il vero scopo della botnet rimane ignoto.
Per ulteriori informazioni sull’indagine e l’analisi della botnet Hide and Seek, Bitdefender è presente al Virus Bulletin 2018 summit che si terrà tra il 3 e il 5 ottobre al Fairmont The Queen Elizabeth hotel di Montreal, Quebec, Canada. I ricercatori di Bitdefender Adrian Șendroiu e Vladimir Diaconesc presenteranno una sessione Red Room dal titolo “Hide and Seek: una botnet IoT peer-to-peer adattiva” in cui riveleranno informazioni riservate circa l’attività e le indagini sulla botnet IoT.
