È passato ormai un anno da quando Mirai causò gravi disservizi lanciando attacchi DDoS massivi sfruttando le vulnerabilità di circa 100.000 dispositivi IoT per prenderne il controllo.
Sembra però che la lezione non sia stata recepita particolarmente bene dai vari produttori di hardware. I ricercatori di cinesi di Qihoo 360 Netlab e gli israeliani di Check Point hanno individuato una nuova botnet in rapida espansione chiamata IoT_Reaper.
Entrambe le compagnie affermano che parte del codice utilizzato da Reaper è uguale a quello di Mirai ma il metodo di propagazione è differente. Mirai cercava porte Telnet aperte provando a loggare con le credenziali di default o comunque con delle password prevedibili. Reaper invece cerca degli exploit non ancora patchati sui vari dispositivi e, quando ne prende possesso, vengono aggiunti all’infrastruttura di command and control (C&C).
I dispositivi che potrebbero finire nelle mani di Reaper sono principalmente le i sistemi di videosorveglianza ed i router:
- Dlink
- Netgear
- Linksys
- Goahead
- JAWS
- AVTECH
- Vacron
- TP-Link
Tra i dispositivi potenzialmente vulnerabili ma in misura inferiore, vegono segnalati i NAS Synology ed i server Linux non patchati/aggiornati.
Netlab segnala la presenza di ben 2 milioni di dispositivi infetti (ricordiamo che Mirai ne aveva “solamente” 100.000!) in attesa di essere processati dai vari server C&C di Reaper.
Questa botnet è stata individuata nella prima metà di settembre e da allora costantemente monitorata. Al momento non è mai stato lanciato nessun attacco DDoS ma il fatto che stia raccimolando “seguaci” non è di certo di buon auspicio.
Ormai i consigli su come mettere in sicurezza i vari dispositivi IoT si sprecano ma, nonostante questo, si fatica ancora a trovare una soluzione efficace, nei limiti del possibile.
Leggi il contenuto originale su Mia mamma usa Linux!