I ricercatori di Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru e di altre organizzazioni hanno unito le forze per contrastare la botnet WireX. Il 17 agosto 2017 svariate reti per la distribuzione dei contenuti (CDN) e numerosi provider di contenuti sono stati oggetto di attacchi importanti da parte della botnet WireX, così battezzata dall’anagramma di una delle stringhe di delimitazione presenti nel relativo protocollo Command and Control. Composta principalmente da dispositivi Android che eseguono applicazioni dannose, la botnet WireX genera traffico DDoS ed è spesso accompagnata da messaggi di richiesta di riscatto.
Avvisata alcuni giorni fa della presenza di questo malware nel suo Play Store, Google ha subito bloccato centinaia di applicazioni interessate e avviato il processo per rimuovere tali applicazioni da tutti i dispositivi infettati.
Dettagli degli attacchi – I primi segnali disponibili della presenza della botnet WireX risalgono al 2 agosto. Si tratta di piccoli attacchi passati inosservati in un primo momento e che non sono stati scoperti fino a quando i ricercatori non hanno iniziato a cercare la stringa User-Agent di 26 caratteri nei log. La portata estremamente contenuta di questi primi attacchi suggerisce che il malware fosse ancora in fase di sviluppo o comunque nelle prime fasi dell’implementazione. Attacchi più prolungati sono stati identificati a partire dal 15 agosto, con alcuni eventi che hanno avuto origine da un minimo di 70 mila indirizzi IP simultaneamente, come illustrato nella figura s1.
La botnet WireX genera attacchi DDoS volumetrici a livello di applicazioni. Il traffico generato dai nodi di attacco è principalmente composto da richieste HTTP GET, sebbene stiano facendo la loro comparsa alcune varianti in grado di generare richieste POST. In altre parole, la botnet produce traffico che assomiglia alle richieste valide provenienti da browser web e client HTTP generici. Nel corso dell’osservazione iniziale, la maggior parte del traffico proveniente da questa botnet si distingueva per l’impiego di una stringa User-Agent della richiesta HTTP contenente caratteri alfabetici minuscoli in ordine casuale.
Sono state osservante anche varianti del malware che utilizzano stringhe User-Agent di lunghezze e set di caratteri estesi diversi e talvolta includono addirittura i valori User-Agent dei comuni browser.
Risalire ai nodi – Dall’analisi dei dati relativi all’attacco del 17 agosto è emerso che avevano preso parte all’attacco oltre 100 paesi diversi, un aspetto del tutto atipico delle botnet attuali. Guidati da questa anomala distribuzione degli IP di attacco e dalla presenza della stringa User-Agent distintiva della botnet, i ricercatori hanno avviato l’indagine iniziale nella convinzione che anche altre organizzazioni fossero state, o avrebbero potuto essere, prese di mira da attacchi simili. I ricercatori di altre organizzazioni sono stati così contattati al fine di verificare quanto si stava osservando.
Una volta dato vita a una più ampia iniziativa congiunta, l’indagine ha iniziato rapidamente a evolversi con l’analisi delle informazioni storiche dei log, che ha rivelato l’esistenza di un collegamento tra gli indirizzi IP di attacco e qualcosa di dannoso eseguito probabilmente al di sopra del sistema operativo Android. Sulla scia degli attacchi Mirai si è registrato un ritorno ai gruppi di condivisione di informazioni, in cui i ricercatori condividono rapporti, e quando necessario collaborano attivamente, per risolvere problemi che interessano l’intera rete Internet. Il valore di questo tipo di collaborazione è stato ulteriormente rafforzato dalla comparsa di WannaCry, Petya e altri eventi di portata globale. Molti di questi gruppi di condivisione di informazioni, come quello creato in questa occasione, hanno lo scopo di favorire lo scambio di comunicazioni totalmente informali tra esperti dello stesso settore.
