Già nel Novembre del 2013, i ricercatori di sicurezza di Symantec hanno scoperto un worm per Linux chiamato Linux.Darlloz che attaccava i dispositivi collegati alla Rete: router, stampanti, sistemi di controllo industriali, telecamere di sicurezza, insomma tutto ciò che viene definito "Internet of Things" (IoT).
La sua ultima incarnazione, scoperta qualche mese più tardi, a Gennaio dell'anno in corso, racchiude uno strumento chiamato "cupminer", che permette al worm di far diventare minatore di cryptocurrency (come BitCoin) qualsiasi device ne divenga infetto. Linux.Darlloz sfrutta una vulnerabilità nel PHP, CVE 2012-1823, che gli permette di propagarsi su molti device che utilizzano sistemi Linux e che abbiano architetture Intel x86 o PPC, MIPS e MIPSEL.
I ricercatori di Symantec sono andati a investigare sulla Rete, contando quanti dispositivi siano stati infettati finora da Darlloz. Ne hanno scoperti ben 31.716 e hanno fatto un po' di conti in tasca ai cybercriminali che lo stanno sfruttando.
Cina e USA sono i Paesi più colpiti da questa nuova infezione che potrebbe esser chiamata "tanto fumo per nulla".
"Per la fine del Febbraio 2014, l'attaccante ha ottenuto 42,438 Dogecoin, all'incirca 46$ di valore, e 282 Mincoin, corrispondenti a circa 150 dollari. Questi quantitativi sono relativamente bassi, quindi siamo sicuri che chi ha architettato l'attacco andrà ad evolvere la sua piattaforma per incrementare gli introiti" - dichiara Kaoru Hayashi, sviluppatore senior per Symantec Japan.
La maggior parte delle apparecchiature infette si trova in Cina, con il 31%, seguita a ruota dal 30% degli USA; Corea del Sud, Taiwan ed India si portano a casa rispettivamente 17, 13 e 9 percento. La scelta di colpire questa tipologia di dispositivi, che certamente non hanno grandi capacità di calcolo, rende il mining di monete "crypto" poco efficace, ma se l'infezione si allargasse ulteriormente ad altri device, è chiaro che potrebbe diventare un business interessante, il tutto all'insaputa dei proprietari.
Giusto poche settimane fa, Cisco ha indetto un concorso, mettendo sul piatto 300.000 dollari di premio per i ricercatori e le comunità di security al fine di contribuire alla protezione dei device IoT; il contesto si chiama "Internet of Things Grand Security Challenge".
Come possiamo difenderci, per evitare che il nostro router diventi un piccolo produttore di crypto-monete a nostra insaputa? Il consiglio è quello di correre ad aggiornare i firmware dei device connessi ad internet che utilizziamo, applicare le patch di sicurezza -qualora disponibili-, non usare mai username o password di default e di bloccare le porte 23 od 80 dall'esterno se non sono strettamente necessarie.