Ricercatori dei laboratori Palo Alto hanno individuato una nuova botnet composta da dispositivi DVR con sistema operativo Linux Embedded, tutti prodotti da un’unica società con diversi rivenditori in tutto il mondo (oltre 70).
Secondo le analisi vi sono più di 200 mila dispositivi vulnerabili, tra i quali in minima percentuale (4%) anche in Italia. Il malware chiamato Amnesia dopo aver infettato un dispositivo, scansiona la rete alla ricerca di altri dispositivi vulnerabili, dopo di che inserisce il dispositivo infetto nella botnet, potendo quindi esser usato per eseguire attacchi DDOS verso l’esterno.
Oltre a ciò il malware verifica di non esser dentro una macchina virtuale (come Virtual Box ecc), in caso affermativo si auto-elimina cercando di danneggiare la macchina virtuale Linux.
Il Bot sfrutta una vulnerabilità scoperta nel marzo 2016 nel componente Cross Web Server come indicato qui
Utile anche in questo caso è sostituire le credenziali di accesso, se possibile, quindi impedire (nelle circostanze adatte) l’accesso ad internet a questo tipo di dispositivi finché non sarà rilasciata una patch correttiva.
I ricercatori hanno pubblicato una lista di marche che hanno rivenduto il dispositivo:
Ulteriori approfondimenti e dati disponibili qui:
Vulnerabilità di marzo 2016: Kerner on Security: Remote Code Execution in CCTV-DVR affecting over 70 different vendors
Nuova Botnet: New IoT/Linux Malware Targets DVRs, Forms Botnet – Palo Alto Networks Blog