Un nuovo ceppo di malware IoT, soprannominato Kaiji, è stato appena scoperto dai ricercatori sulla sicurezza MalwareMustDie e Intezer Labs.
Il nuovo malware IoT è progettato per colpire server basati su Linux e dispositivi connessi per lanciare attacchi DDoS, ed è stato codificato da aggressori cinesi.
Il malware Kaiji IoT è abbastanza diverso rispetto ad altri ceppi
Secondo i ricercatori, Kaiji non ha molto a che fare con altri ceppi di malware IoT, come è scritto nel linguaggio di programmazione Golang. I due linguaggi più utilizzati nella creazione di tale malware sono C e C ++.
I malware basati sulla lingua Golang sono efficaci ma sono rari, perché ci sono molti progetti C e C ++ pronti disponibili sia su GitHub che sui forum dedicati all'hacking. Questi facilitano il processo di creazione botnet IoT, e ci sono pochissimi autori di malware IoT che codificano da zero. In verità, la maggior parte delle botnet IoT al giorno d'oggi sono raschiate da vari ceppi esistenti.
Kaiji si sta già diffondendo su Internet
Il malware Kaiji è già stato visto in natura, dicono i ricercatori di sicurezza. Il malware si sta diffondendo lentamente, influenzando i nuovi dispositivi e trasformandoli in zombi. Per diffondere, Kaiji sta usando tecniche di attacco a forza bruta, piuttosto che utilizzare exploit per infettare i dispositivi vulnerabili. I server Linux con una porta SSH esposta sono particolarmente a rischio.
Va notato che il malware ha come target specifico l'account root del dispositivo. Questo viene fatto in modo che gli operatori di malware possano manipolare i pacchetti di rete grezzi per attacchi DDoS. Una volta ottenuto l'accesso root, Kaiji può eseguire tre scenari dannosi – Attacchi DDoS, SSH attacchi di forza bruta contro altri dispositivi, o rubare chiavi SSH locali per diffonderle su più dispositivi gestiti in precedenza dall'account root. Più specificamente, sembra che il malware possa lanciare sei diversi tipi di attacchi DDoS.
Nonostante le sue capacità sufficienti, Kaiji sembra essere ancora in fase di sviluppo, poiché il codice contiene la stringa "demo", e il modulo rootkit si chiamerebbe troppe volte, con conseguente esaurimento della memoria del dispositivo e un arresto anomalo.
Inoltre, I server di comando e controllo di Kaiji sembrano instabili, andare offline e lasciare i dispositivi infetti senza un server principale. Questi problemi che il malware ha attualmente verranno probabilmente risolti in futuro, e i ricercatori della sicurezza continueranno a monitorare l'evoluzione del malware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: