La Botnet IoT Hide N’ Seek, riappare potenziata in pochi giorni

Una nuova botnet chiamata Hide N’ Seek o HNS, che sfrutta le comunicazioni peer-to-peer customizzate per acquisire nuovi dispositivi IoT è stata scoperta la prima volta dai ricercatori di Bitdefender Labs. Al momento controlla 32.312 apparecchi di Internet of Things, ma si sta espandendo molto rapidamente.  Il reale rischio è quello che una volta diventata sufficientemente potente, possa lanciare una nuova ondata di cyber attacchi di tipo DDoS.

La Botnet ha un sistema anti-manomissione per proteggersi dai cyber attacchi

La botnet HNS utilizza diverse tecniche di anti-manomissione,  per prevenire che cyber attacchi esterni possano hackerarla o avvelenarla. Per diffondersi e crescere sfrutta vulnerabilità di una serie di dispositivi IoT, allo stesso modo di come faceva il suo predecessore Reaper. La lista dei comandi al suo interno, non è limitata, anzi può essere decisa una esfiltrazione di dati, l’esecuzione di un codice o la creazione di un’interferenza con le operazioni degli apparecchi.

Come funziona HNS

La botnet HNS usa un meccanismo di diffusione simile a quello dei worm. Genera a caso una lista di indirizzi IP di potenziali bersagli. A quel punto avvia una connessione socket SYN verso ognuno e continua a dialogare con quelli che rispondono alla richiesta attraverso porte specifiche (23 2323, 80, 8080). Una volta stabilita, cerca il banner specifico del buildroot login nel sistema della vittima. Se lo trova avvia tentativi di accesso attraverso un set predefinito di credenziali. In caso di fallimento, passa al “piano B”. E cioè lancia un cyber attacco di tipo dictionary usando un elenco predefinito. Quando HNS riesce a stabilire una sessione, cerca il metodo di compromissione più semplice da attuare. Si tratta, comunque, di tecniche pre-configurate che sono all’interno di una memoria con firma digitale della botnet. Ciò per prevenire tentativi di contrasto.

L’unica soluzione è riavviare il sistema. La Botnet, infatti, non ha capacità di persistenza

Il “difetto” della botnet HNS, come altre minacce alla sicurezza informatica dello stesso tipo al settore IoT, è che basta il riavvio della macchina per cancellarla. Non ha, infatti, caratteristiche di persistenza. Però, ha anche differenza importante. l’architettura decentralizzata peer-to-peer. Riscontrata, come ricordano i cyber esperti, solo in un altro tool simile: la famosa Hajime. Questa usava il protocollo BitTorrent, mentre la nuova ha un sistema di comunicazione customizzato.

 

Il post originale di Bitdefender Labs