I sistemi operativi basati su Linux, nonostante la diffusione marginale in ambito Desktop, sono ovunque e oltre a costituire la spina dorsale delle telecomunicazioni e di internet Linux ha trovato terreno fertile nei dispositivi “ Internet of Things “, cioè i dispositivi come telecamere, sensori, interruttori, lampadine ma anche automobili, elettrodomestici e molto altro capaci di collegarsi ad internet e di essere controllati da remoto.
Questi dispositivi, la cui conta supera ampiamente i 20 miliardi ed è in rapida crescita, rappresentano un obiettivo primario per i Cybercriminali di tutto il mondo che puntano a prendere il controllo di quanti più dispositivi possibile col fine ultimo, nella maggior parte dei casi, di diffondere attacchi DdoS.
Secondo un report redatto da CrowdStrike gli strumenti preferiti dagli Hacker sono stati XorDDoS, Mirai e Mozi che sono la base per quasi un quarto dei Malware per Linux, mentre il numero di programmi malevoli che prende di mira il sistema operativo open source è cresciuto complessivamente del 35% nel 2021 rispetto all'anno precedente.
Mozi, che ha iniziato a diffondersi nel 2019 prende di mira i dispositivi che utilizzano il vecchio protocollo telnet ( come alcuni modem o telecamere IP e VCR ) sfruttando per guadagnare il controllo del dispositivo una combinazione di password semplici ed eventuali vulnerabilità note, mascherando la sua presenza dietro una DHT legittima.
XorDDoS è attiva almeno dal 2014, ha registrato un aumento del numero di attacchi del 123% e ha un funzionamento semplice: scansiona la rete in cerca di server con SSH attivo protetti con password deboli e tenta di indovinarle, permettendo ai criminali informatici di guadagnare il controllo completo della macchina. Di recente oltre ai dispositivi IoT anche i cluster Docker sono diventati bersaglio di XorDDoS, per via delle prestazioni generalmente alte delle macchine su cui girano, che le rendono un obiettivo importante per il mining di cryptovalute.
Secondo CrowdStrike, XorDDoS scansiona la rete in cerca di server con la porta 2375 aperta: quest’ultima offre un accesso privilegiato alla macchina tramite un Socket Docker che potrebbe essere utilizzato per guadagnare i permessi di Root.
Come i precedenti, anche Mirai e le varianti basate su di esso, come Sora (+33%), IZIH9 (+39%) e Rekai (+83%), prendono si mira i server protetti con password deboli.
Il buonsenso è sicuramente d’aiuto nell’arginare la diffusione di queste minacce, ci sentiamo di consigliarvi di proteggere i dispositivi della vostra rete domestica o aziendale a partire dal modem andando a impostare password valide e dove possibile modificando le porte standard con valori personalizzati.