Sul web c’è una nuova botnet che sfrutta le comunicazioni peer-to-peer customizzate per acquisire nuovi dispositivi IoT e crescere. E’ stata chiamata Hide N’ Seek o HNS ad è stata scoperta la prima volta dai ricercatori di sicurezza informatica di Bitdefender Labs.
Poi è scomparsa per alcuni giorni, per riapparire il 20 gennaio in una forma potenziata significativamente. Al momento questa controlla 32.312 apparecchi di Internet of Things, ma si sta espandendo molto rapidamente. Ciò al pari col suo sviluppo e c’è il rischio che appena diventi abbastanza potente possa lanciare una nuova ondata di cyber attacchi di tipo DDoS. Non si sa al momento quali potrebbero essere i bersagli.
La botnet ha un sistema anti-manomissione per proteggersi dai cyber attacchi
La botnet HNS comunica in un modo complesso e decentralizzato, usando numerose tecniche anti-manomissione. Ciò per prevenire che cyber attacchi esterni possano hackerarla o avvelenarla (poisoning). Per diffondersi e crescere sfrutta vulnerabilità di una serie di dispositivi IoT, allo stesso modo di come faceva il suo predecessore Reaper. La lista dei comandi al suo interno, peraltro, non è limitata alla possibilità di lanciare aggressioni DDoS. Infatti, può essere decisa una esfiltrazione di dati, l’esecuzione di un codice o la creazione di un’interferenza con le operazioni degli apparecchi.
Come funziona HNS
La botnet HNS usa un meccanismo di diffusione simile a quello dei worm. Genera a caso una lista di indirizzi IP di potenziali bersagli. A quel punto avvia una connessione socket SYN verso ognuno e continua a dialogare con quelli che rispondono alla richiesta attraverso porte specifiche (23 2323, 80, 8080). Una volta stabilita, cerca il banner specifico del buildroot login nel sistema della vittima. Se lo trova avvia tentativi di accesso attraverso un set predefinito di credenziali. In caso di fallimento, passa al “piano B”. E cioè lancia un cyber attacco di tipo dictionary usando un elenco predefinito. Quando HNS riesce a stabilire una sessione, cerca il metodo di compromissione più semplice da attuare. Si tratta, comunque, di tecniche pre-configurate che sono all’interno di una memoria con firma digitale della botnet. Ciò per prevenire tentativi di contrasto.
L’unica salvezza al momento è riavviare il sistema. La botnet, infatti, non ha capacità di persistenza
Il “difetto” della botnet HNS, come altre minacce alla sicurezza informatica dello stesso tipo al settore IoT, è che basta il riavvio della macchina per cancellarla. Non ha, infatti, caratteristiche di persistenza. Però, ha anche differenza importante. l’architettura decentralizzata peer-to-peer. Riscontrata, come ricordano i cyber esperti, solo in un altro tool simile: la famosa Hajime. Questa usava il protocollo BitTorrent, mentre la nuova ha un sistema di comunicazione customizzato.
Il post originale di Bitdefender Labs sulla nuova cyber minaccia in crescita
