Cryptojacking: attenzione a Diicot-Brute. Da qualche giorno circola insistente sulle riviste di settore la notizia che una gang di tecnocriminali, provenienti molto probabilmente dalla Romania, ha infettato negli ultimi mesi centinaia di computer in tutto il mondo al fine di estrarre illegalmente la criptovaluta Monero.
Gli hackers si impadronivano dei sistemi informatici delle vittime, su cui “girava” il sistema operativo Linux, utilizzando uno strumento di “SSH brute-force” chiamato “Diicot Brute” per forzare le deboli password, e poi installare nella macchina ospite il malware per il “mining”.
Questo tipo di attacco è chiamato “cryptojacking” ed è caratterizzato dal fatto che il criminale informatico utilizza segretamente la potenza di calcolo della macchina della sua vittima per generare appunto le criptovalute.
Ai più potrebbe anche sembrare un reato di poco conto, visto che l’azione fraudolenta è solamente quella di procurare alla vittima un consistente consumo di elettricità e risorse di calcolo della sua macchina, ma in ogni caso questa azione è perpetrata a scapito della sua volontà e al solo fine di consentire all’attaccante di ottenere profitto per se stesso.
Ma che cos’è una criptovaluta e cosa sono le attività di mining?
Senza dover entrare in “profondità” nel mondo, ancora poco chiaro ad alcuni, delle criptovalute e delle loro caratteristiche, proviamo a fare un breve excursus.
Ricevuta di transazione moneta virtuale
Una criptovaluta (o criptocurrency) è una valuta digitale (in corso legale soprattutto negli Stati Uniti ma riconosciuta in molti paesi) con la quale possono essere comperati beni e/o servizi. Al fine di proteggere tutte le transazioni effettuate in criptovaluta, viene utilizzato “un registro” online sicuro, accurato ed immutabile, con crittografia avanzata, denominato “blockchain”. Si dice che la blockchain sia una tecnologia “decentralizzata”, ovvero che non ha una dipendenza centrale, come le banche tradizionali ad esempio, ma è la stessa comunità dei minatori di criptovaluta (i “miners”) che la gestisce, e vi ripone la propria fiducia, non controllando come la valuta virtuale viene emessa, spesa o bilanciata.
Negli ultimi anni le criptovalute hanno iniziato a proliferare in maniera esponenziale tanto è che ad oggi si contano circa 10.000 “monete virtuali” in circolazione – la più conosciuta è il Bitcoin – ed il loro valore complessivo si aggira intorno agli 1,3 trilioni di dollari (in leggero calo). Va fatta la precisazione che la criptovaluta è però un acquisto fortemente speculativo e volatile.
I cosìdetti miners, attraverso un programma installato sul computer, emettono nuova moneta e la rilasciano in un processo chiamato appunto mining. Per semplificare la comprensione del suo funzionamento è abitudine paragonarlo alla famosa attività dei cercatori d’oro del passato. Entrambi i minatori sono ricompensati con un bene non ancora in circolazione e il cui scopo comune è quello di creare profitto. Una volta alla luce, l’oro diventa parte dell’economia, così come il lavoro compiuto dal criptominer termina con l’immissione di criptovaluta al registro della blockchain. In entrambi i casi gli attori ricevono la loro ricompensa, che ritorna in circolazione una volta che viene venduta al pubblico, questo per recuperare i costi operativi.
La ricompensa del miner in alcuni casi dipende dal tipo di moneta virtuale, ma per semplicità si può generalizzare identificando due incentivi: le commissioni di transazione, ovvero una piccola commissione riconosciuta al miner che aggiunge la transazione al registro da chi spende in criptovaluta, e la sovvenzione per singolo blocco che viene aggiunto alla blockchain.
Come si è arrivati a scoprire questa attività malevola?
La campagna di cryptojacking è stata scoperta recentemente dai ricercatori della compagnia Bitdefender, leader mondiale nella sicurezza informatica, che ha individuato e descritto in un report le tracce dell’attività malevola della gang criminale, la quale ha come scopo non solo la creazione di criptovaluta, ma è anche potenzialmente in grado di sferrare altri attacchi dalle macchine infettate. Gli hackers sono infatti stati collegati a due botnet: “Chernobyl” (variante di DemonBot basata su Linux) e un’altra di matrice “IRC Perl”.
Fonte: Bitdefender
Botnet deriva dalle parole robot e network, dove net è la rete Internet mentre bot fa riferimento ai dispositivi vittima. Il compito delle botnet è quello di eseguire attività illecite o dannose come l’invio di spam, esfiltrazione di dati, l’estorsione attraverso ransomware oppure DDoS (Distributed Denial of Service, ovvero la capacità di mandare in tilt la macchina attaccata, creando un’interruzione dei suoi normali servizi). Ma mentre il ransomware, ha una visibilità immediata sulla macchina vittima, i botnet DDoS possono essere progettati sia per per un controllo immediato e totale del dispositivo infettato, sia per agire in maniera “silenziosa” o in background, aspettando di ricevere le istruzioni da parte dell’aggressore.
Come anticipato le macchine ad essere state prese di mira erano quelle con a bordo i sistemi Linux che usavano delle credenziali di protezione “deboli” e facilmente espugnabili. Ma l’elemento di novità è che l’attacco avrebbe consentito agli hackers di mantenere il completo anonimato e senza essere rilevati dai vari honeypot sparsi per la rete.
In informatica, un honeypot è un sistema o componente hardware o software usato come “trappola” o “esca” a fini di proteggere i sistemi dagli attacchi dei pirati informatici (cit. wikipedia).
Ma evidentemente non è andata proprio così. Gli analisti di Bitdefender sono riusciti ad individuare dai propri honeypot le tracce delle attività malevole, i cui dati hanno evidenziato che i tentativi di decrittazione delle password da parte dello strumento di “brute-force” hanno avuto inizio già da gennaio scorso e che gli hackers hanno tentato di nasconderli attraverso delle righe di codice compilate in “Bash”, la shell linux più diffusa.
Fonte: Bitdefender
Bash è una shell testuale, ovvero un interprete di comandi, cioè la componente fondamentale che permette all’utente di comunicare col sistema operativo attraverso una serie di funzioni predefinite, o di eseguire programmi e script (cit. wikipedia).
Sembra comunque che gli IP tracciati appartengano ad un gruppo ristretto di sistemi compromessi e ciò fa pensare che l’attacco non sia ancora su larga scala.
Gli analisti si sono anche accorti che i tecnocriminali utilizzavano “Discord”, per condividere le informazioni e veicolare tutta una serie di malware tra cui “trojan ad accesso remoto (RAT)”, DDoS, vari codici sorgenti e altro ancora.
Discord è una piattaforma americana di comunicazione e condivisione, utilizzata per lo più dalle comunità del gaming, dove gli utenti si interfacciano tra loro attraverso chiamate vocali, videochiamate, messaggi di testo, media e file in chat private o quali membri di un server. Questa piattaforma è diventata sempre più utilizzata dai tecnocriminali proprio per le sue caratteristiche che la rendono idonea ai loro scopi. Infatti già ad aprile un team di Cisco aveva rilevato su questa piattaforma circa ventimila virus.
I cyberpoliziotti hanno iniziato ad indagare la minaccia dallo scorso maggio e presto si sono imbattutti per caso nel loader “.93joshua”, rinvenuto in una directory pubblica del server avente IP “http://45.32.112.68/.sherifu/.93joshua”. Da qui si è risaliti al suo dominio collegato, ovvero “mexalz.us”, un sito web gestito dalla Romania, dove è anche ospitato il programma di mining “XMRig” appositamente modificato (oltre un insieme di altri file e malware vari), che serve appunto a generare la moneta virtuale Monero.
Quale è stata la strategia di azione del cryptojacking?
La strategia di azione degli hackers è brevemente esplicata nei passi successivi:
– scansione massiva della rete attraverso tradizionali ma appropriati strumenti come masscan o zmap. Per mezzo di questi tools gli hackers riescono a determinare varie informazioni dei loro target: lo stato online, le vulnerabilità, il sistema operativo e i servizi, al fine di trovare chiavi pubbliche deboli nei vari registri.
– accesso alle credenziali tramite gli strumenti di brute-force – contenuti negli archivi jack.tar.gz e juanito.tar.gz – tra i quali appunto Diicot-brute, che vengono usati come un vero e proprio servizio centralizzato tramite API personalizzate. Da qui si è risaliti al fatto che gli attaccanti fossero della Romania, in quanto l’interfaccia dello strumento di brute-force era un mix in lingua rumena e inglese.
– accesso iniziale ai sistemi target con le credenziali rilevate e distribuzione del payload.
Durante il processo di cancellazione delle tracce gli hackers hanno utilizzano anche Discord, visto che offre la possibilità di ospitare il “server di comando e controllo” e di utilizzare i “webhook” per l’invio dei dati.
Al di là dell’ingegnosità dei tecnocriminali, la lezione appresa da questo insieme di eventi è però sempre la stessa: l’elemento umano è l’anello più debole della catena, in quanto di certo si può rendere loro (agli hackers) la vita difficile, semplicemente adottando una serie di precauzioni, tra cui appunto la scelta e utilizzo di credenziali adatte e rispettose dei criteri minimi di sicurezza. Nel mondo ci sono ancora troppe persone che utilizzano credenziali facili da indovinare, e questo non riguarda solo profili di social network di utenti inesperti, ma anche gli account di dipendenti di aziende più grandi del mondo e tra queste anche quelle definite infrastrutture critiche.
