Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web presenta una panoramica sulle minacce Linux ad Internet degli oggetti

17 ottobre 2016

Tanti dispositivi domestici diversi funzionano sotto la gestione di Linux: console, periferiche di archiviazione remota, router, sistemi di videosorveglianza, molti di cui si utilizzano con le impostazioni predefinite, il che li rende facilmente accessibili per l'hacking. L'azienda Doctor Web ha raccolto le statistiche circa le minacce Linux attualmente più diffuse, che in particolare rappresentano un pericolo per Internet degli oggetti. Questo studio dimostra che il più delle volte i criminali informatici installano sui dispositivi compromessi trojan volti ad eseguire attacchi DDoS.

Per il momento i criminali informatici che diffondono trojan per Internet degli oggetti hanno l'obiettivo principale di creare delle botnet da essere utilizzate per eseguire attacchi DDoS, però alcuni trojan vengono impiegati per trasformare il dispositivo infetto in un server proxy. A partire dalla metà di settembre 2016 gli esperti Doctor Web hanno registrato 11.636 attacchi a vari dispositivi Linux, di cui in 9.582 attacchi veniva utilizzato il protocollo SSH e in 2.054 il protocollo Telnet. Il più delle volte i malintenzionati caricavano sui dispositivi hackerati 15 tipi diversi di programmi malevoli, la maggior parte di cui appartiene alle categorie Linux.DownLoader, Linux.DDoS e Linux.BackDoor.Fgt. Il rapporto proporzionale di questi trojan è mostrato nel diagramma sotto.

graph #drweb

Secondo le statistiche, il programma malevolo più diffuso è Linux.Downloader.37 studiato per eseguire attacchi DDoS. Tra le minacce Linux ci sono anche quelle appartenenti alle categorie Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai, Linux.Nyadrop, Perl.Flood e Perl.DDoS – anche questi programmi possono essere utilizzati per eseguire attacchi di negazione di servizio. La maggior parte delle minacce trovate sui dispositivi Linux sotto attacco è varianti di Linux.BackDoor.Fgt. Esistono versioni di questo trojan per le architetture MIPS, SPARC, m68k, SuperH, PowerPC ecc. Linux.BackDoor.Fgt è anche progettato per l'organizzazione di attacchi DDoS.

I criminali informatici caricano tutti questi programmi malevoli sui dispositivi, dopo aver determinato le relative credenziali di accesso ed essersi connessi attraverso i protocolli Telnet o SSH. Attraverso Telnet i malfattori i più delle volte cercano di connettersi al nodo attaccato con il login ‘root’, mentre attraverso SSH utilizzando il login ‘admin’:

graph #drweb

graph #drweb

Nella tabella sottostante sono mostrate alcune combinazioni di login e password, utilizzate dai malfattori per hackerare diversi dispositivi gestiti da Linux. Queste combinazioni sono state utilizzate dai criminali informatici per effettuare attacchi reali.

SSH
LoginPasswordDispositivo/applicazione (presumibilmente)
InformixInformixSistemi di gestione dei database relazionali (DBMS) Informix di IBM
PiRaspberryRaspberry Pi
RootNagiosxiNagios Server and Network Monitoring Software
nagiosNagiosSoftware Nagios
cactiuserCactiSoftware Cacti
rootSynopassSoftware Synology
adminArticonProxySG - Secure Web Gateway di Blue Coat Systems
Telnet
Rootxc3511Sistemi di videosorveglianza
RootVizxvSistemi di videosorveglianza Dahua
RootAnkoSistemi di videosorveglianza Anko
Root5upRouter TP-Link
RootXA1bac0MXSistemi di videosorveglianza CNB

Gli indirizzi IP unici da cui i malintenzionati attaccano i dispositivi Linux monitorati dall'azienda Doctor Web sono in media 100:

graph #drweb

Il numero di file malevoli unici caricati dai criminali informatici sui dispositivi hackerati anche varia con il tempo – da alcuni file a diverse decine di file:

graph #drweb

Sono interessanti le statistiche di caricamento sui dispositivi compromessi del trojan Linux.Mirai: dopo che i codici sorgenti di questo programma malevolo erano apparsi nel pubblico dominio, è diventato subito molto popolare tra i malintenzionati. Ciò è dimostrato dal numero crescente di indirizzi IP unici da cui questo trojan viene scaricato:

graph #drweb

Ad ottobre i malintenzionati hanno cominciato a utilizzare il trojan Linux.Luabot per installare Linux.Mirai. Inoltre, nella seconda metà di settembre gli analisti Doctor Web registravano attacchi con l'utilizzo del trojan Linux.Nyadrop.1, della cui scoperta avevano comunicato gli autori del blog MalwareMustDie. Basandosi sulle combinazioni di login e password utilizzate negli attacchi possiamo giungere alla conclusione che uno dei bersagli degli hacker erano i router dell'azienda TP-Link. Il trojan Linux.Nyadrop.1 è grande di soli 621 byte ed è studiato per installare altri trojan su un dispositivo compromesso.

Di seguito presentiamo la distribuzione geografica degli indirizzi IP da cui i software dannosi venivano scaricati sui dispositivi Linux compromessi:

map #drweb

Gli esperti Doctor Web continuano a monitorare la diffusione dei programmi malevoli per SO Linux e informeranno tempestivamente gli utenti delle tendenze recenti in questo campo.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A