Ricordate la famosa Botnet Mirai, autrice di uno dei più grandi attacchi informatici mai accaduti? Ebbene, sembra che vi sia un nuovo contendente in quanto a dimensioni e numero di computer infettati: infatti è stata scoperta la botnet Hajime dai ricercatori della Rapidity Networks, che usa la medesima porta TCP 23 tramite Telnet per accedere ai dispositivi ma, al contrario di Mirai, utilizza una rete P2P per la comunicazione, escludendo quindi server C&C centralizzati.
Infatti l’infezione è abbastanza complessa, visto che come primo passaggio viene scaricato un file di grosse dimensioni, quindi viene scaricato il file di configurazione tramite la rete P2P e un software di scansione della rete, necessario per individuare altri dispositivi da attaccare.
Il creatore è un “white hat”
Il creatore della rete si dichiara un “White Hat”, ovvero un hacker etico che combatte gli abusi informatici: in effetti questa botnet va a mettere in “sicurezza” il dispositivo, chiudendo la porta 23 (Telnet), 7547 (CPE WAN Management Protocol), 5555 (Oracle WebCenter Content) e 5358 (WSDAPI Applications) che sono solitamente quelle prese di mira da botnet come Mirai e similari.
Certo è che il comportamento del malware può cambiare da un momento all’altro: ora non ha funzionalità e capacità di eseguire attacchi DDOS, ma il suo comportamento potrà esser cambiato in futuro.
Per ora la botnet ha raggiunto livelli di espansione considerevoli, infatti il tasso di infezione è salito vertiginosamente in paesi come il Brasile, Iran, Russia e Thailandia, Turchia e Vietnam e molti altri.
Le contromisure
Per ora è possibile prendere delle contromisure, che possono essere:
- limitare l’uso della rete wifi, se possibile, ed usare connessioni cablate
- se usate reti wifi applicate la protezione massima, ovvero la WPA-PSK2 con password robuste
- disabilitare l’accesso Telnet, usare come sostituto connessioni SSH
- disabilitare se non necessari servizi come accesso web da remoto o funzionalità che possano abilitare l’accesso al dispositivo tramite servizi web o cloud
- disabilitare funzionalità Plug and Play sui dispositivi ove non è in uso o strettamente necessaria
- bloccare i pacchetti UDP che contengono traffico P2P
- bloccare connessioni TCP in particolare se contenenti la stringa /bin/busybox ECCHI inviata sulla porta 23
- bloccare la porta TCP 4636 usata nel primo passaggio dell’infezione