Si chiama Okiru la nuova minaccia mondiale alla vita digitale. Ad annunciarla su Twitter è il team di ricerca noto come MalwareMustDie e potrebbe essere perfino peggiore del suo ceppo madre: la Botnet Mirai che dall’omonimo malware ha preso il nome. Okiru è in effetti una variante del malware Mirai, un codice malevolo che si diffonde sfruttando falle note e configurazioni non corrette dei dispositivi dell’Internet delle Cose.
Il target di Okiru sono infatti i miliardi di microprocessori ARC che fanno girare l’Internet delle Cose basate sulla famiglia di sistemi operativi Linux e, se usato, potrebbe dare inizio a un’epidemia di attacchi informatici sferrati da frigorigeri, auto e televisori difficile da fronteggiare.
Come gli altri malware di questo tipo Okiru è infatti in grado di prendere il controllo dei dispositivi che infetta e reclutarli all’interno di una rete di computer zombie (che ne prende il nome), “risvegliandogli” contemporaneamente per portare attacchi su specifici target, in particolare attacchi DDoS (Distributed Denial of Service, attacco distribuito da negazione di servizio) che ingolfano servizi legittimi e li fanno collassare per l’elevato numero di richieste contemporanee.
Così, dopo l’allarme di pochi giorni fa circa le vulnerabilità individuata nell’hardware dei processori Intel e AMD, questo nuovo alert ha messo in subbuglio tutto il mondo della cybersecurity mondiale
MalwareMustDie, lo scopritore
Individuata dallo stesso ricercatore che nel 2016 per primo aveva individuato Mirai, @unixfreaxjp del gruppo @MalwareMustDie, questo nuovo malware non viene trovato dalla maggior parte dei sistemi antivirus avendo una elevata capacità di offuscamento.
Per capire i possibili danni derivanti da un’attivazione mirata di una botnet basata su Okiru basti ricordare che Mirai, la botnet che nell’ottobre del 2016 ha messo in ginocchio i server della società Dyn aveva causato il blackout di molti siti e servizi sulla costa orientale americana rendendo irraggiungibile anche il New York Times online, Amazon e Twitter. All’epoca la Mirai botnet responsabile dello “Internet outtage” aveva utilizzato circa 100.000 telecamere connesse a Internet basate su schede della cinese XiongMai Technologies, tutte con lo stessa username e password.
Nel caso di Okiru potrebbe accadere lo stesso. Questo tipo di malware esamina la rete alla ricerca di dispositivi visibili e quando trova un dispositivo IoT vulnerabile, lo infetta automaticamente e lo aggiunge al suo esercito botnet grazie alla capacità di generare le password per perderne il controllo, e sfruttando il fatto che spesso login e password dei dispositivi attaccati sono quelli decisi dal fabbricante e quasi mai cambiati dagli utilizzatori. Una volta reclutati questi dispositivi possono essere “risvegliati” per un attacco DDoS su larga scala.
Una botnet dagli effetti potenzialmente devastanti
In dicembre era stata scoperta un'altra variante di Mirai, la botnet Satori, utilizzata per colpire i router della cinese Huawei.
Okiru però, non solo si distingue per l'obiettivo dell'attacco, bensì anche per caratteristiche tecniche rispetto alle versioni di Mirai come Satori.
E in effetti l’impatto potrebbe essere devastante visto che, come ha stimato Odisseus, il ricercatore avvisato da MalwareMustDie e che ha dato per primo l’allarme in tandem con l’italiano Pierluigi Paganini, l’impatto di questa botnet potrebbe essere devastante perché i processori barsaglio vengono venduti in tutto il mondo al numero di un miliardo e mezzo all’anno.
Gli “ARC (Argonaut RISC Core) sono infatti una famiglia di processori a 32-bit emebedded progettati da ARC International e sono ampiamente usati nei settori casa, automotive, mobile e nelle applicazioni IoT (Internet of Things).
Secondo MalwareMustDie “questa variante di #Mirai, #Okiru è pericolosissima perché gli sono state apportate modifiche rilevanti nel codice, nella capacità di generare password e nel suo offuscamento crittografico”.
Pierluigi Paganini, CTO di CSE Cybsec ha dichiarato che “con la scoperta di Okiru sappiamo che qualcuno che brandisce un cannone con centinaia di migliaia di dispositivi compromessi potrebbe colpire una qualunque infrastruttura in rete”, e ha anche denunciato il fatto che appena ha divulgato la notizia con un post, dopo 20 minuti il suo sito è stato colpito da un DDoS, un attacco da negazione di servizio a carattere dimostrativo che lo ha reso inservibile per qualche tempo nonostante fosse protetto da un apposito servizio anti DDoS.
I ricercatori del team MalwareMustDie hanno per questi motivi deciso di pubblicare le cosiddette “Yara rules” per meglio affrontare il pericolo. Le regole Yara sono un insieme di stringhe informatiche ed espressoni booleane che descrivono il comportamento dei malware e permettono di attuare le contromisure e loro le hanno caricate su GitHub, il repositorio libero di codice informatico, a beneficio di tutti, ma solo dopo avere segnalato gli indicatori di compromissione per capire se il proprio dispositivo è infetto.