Scoperta all’inizio dell’anno grazie al sistema honeypot di Bitdefender, la nuova botnet IoT denominata “Hide and Seek” ha infettato oltre 90.000 dispositivi.
Mentre la prima variante effettuava attacchi brute force attraverso il servizio Telnet per collegarsi ad altri apparecchi, gli aggiornamenti successivi hanno iniziato a utilizzare nuovi exploit in grado di inserire comandi nell’interfaccia web dei dispositivi, consentendo alla botnet di infettare anche le telecamere IPTV.
I campioni recentemente identificati aggiungono funzionalità sfruttando la caratteristica Android Debug Bridge (ADB) su Wi-Fi presente nei dispositivi Android e normalmente utilizzata dagli sviluppatori per la risoluzione dei problemi.
Disabilitata di norma per impostazione predefinita, in alcuni dispositivi Android la funzione è invece attiva, esponendo così gli utenti a connessioni remote attraverso l’interfaccia ADB accessibile usando la porta TCP 5555.
Qualsiasi connessione remota al dispositivo viene effettuata senza autenticazione. In questo modo è possibile accedere alla shell e consentire agli hacker di effettuare praticamente qualsiasi attività in modalità amministratore.
Esporre questo protocollo su Internet senza autenticazione è pericoloso. Non è una vulnerabilità intrinseca del sistema Android, ma una funzione che il produttore ha probabilmente dimenticato di disabilitare prima di mettere in commercio i dispositivi.
In pericolo non solo gli smartphone Android
Anche se la vulnerabilità dei dispositivi Android tramite la funzione ADB su Wi-Fi è stata segnalata all’inizio di giugno, non è ancora stata risolta.
Sfruttata per la prima volta dai miner di criptovalute nello stesso periodo, il problema preoccupa molto perché consente agli aggressori di installare ed eseguire furtivamente su alcuni dispositivi funzioni con privilegi “root” o amministratore senza autenticazione.
La botnet Hide and Seek ha già compromesso una grande quantità di dispositivi collegati a Internet e, secondo una rapida ricerca su Shodan, il recente aggiornamento potrebbe consentire di infettare 40.000 nuovi dispositivi. E, sebbene la maggior parte degli apparecchi minacciati si trovino a Taiwan, Corea e Cina, alcuni prodotti a rischio potrebbero trovarsi anche negli Stati Uniti e in Russia.
Alcuni di questi potrebbero essere collegati direttamente a Internet, mentre altri trovarsi dietro un router. Tuttavia, questo non li rende immuni, poiché i router sono tra gli apparecchi Internet più a rischio e, secondo una ricerca di Bitdefender, costituiscono il 59.45% dei 10 dispositivi più vulnerabili.
Il che significa che il numero di apparecchi a rischio potrebbe essere sensibilmente maggiore, consentendo alla botnet Hide and Seek di infettare decine di migliaia di nuovi bot in più rispetto alle 40.000 unità stimate da Shodan.
Non sono solo gli smartphone Android a essere minacciati, ma anche Smart tv, Dvr e praticamente qualsiasi dispositivo dotato della funzione ADB su Wi-Fi.
Considerando le informazioni raccolte, si può ipotizzare che gli hacker aggiungano costantemente nuove funzionalità per “schiavizzare” il maggior numero di dispositivi possibile, anche se il vero Vista l’evoluzione di Hide and Seek, Bitdefender darà nuove informazioni sull’indagine e sull’analisi della botnet al Virus Bulletin 2018 summit che si terrà tra il 3 e il 5 ottobre a Montreal, Canada. I ricercatori di Bitdefender Adrian Șendroiu e Vladimir Diaconesc presenteranno una sessione Red Room dal titolo “Hide and Seek: una botnet IoT peer-to-peer adattiva” in cui riveleranno informazioni riservate circa l’attività e le indagini sulla botnet IoT.