È stata rilevata l’implementazione di un nuovo malware multipiattaforma, presumibilmente collegato alla Cina, chiamato Chaos che sta infettando i router SOHO, con attacchi alle password SSH, diffondendo vulnerabilità note e lanciando attacchi DDoS contro target eterogenei.
Indice degli argomenti
Nuova minaccia malware, si chiama Chaos
I ricercatori hanno scoperto che il malware Chaos è strettamente legato al malware Kaiji, che circola già da circa due anni e viene utilizzato principalmente per attacchi DDoS.
Sia Chaos che Kaiji sono scritti in Go e sono studiati per propagarsi tramite attacchi di forza bruta (brute force) SSH. I ricercatori dei Black Lotus Labs di Lumen Technologies (che hanno condotto lo studio) hanno scoperto infezioni da Chaos in tutto il mondo, con grande impatto per l’Europa.
Queste infezioni hanno in comune la comunicazione messa in atto con l’infrastruttura C2 (comando e controllo) che, dalle indagini portate avanti, è risultata sempre avere sede di destinazione in Cina.
I ricercatori hanno inoltre affermato che gli attacchi DDoS lanciati dal malware hanno preso di mira società finanziarie, di gaming e tecnologiche, nonché almeno una piattaforma di interscambio di criptovaluta.
La botnet che ne emerge non è molto grande, ma ha il potenziale per poter crescere rapidamente, dato che il malware è sfruttabile con varianti per Windows e per Linux e Chaos, per sua natura, può essere eseguito su una serie di architetture diverse, tra cui ARM, Intel e PowerPC.
Il vettore di infezione iniziale per Chaos non è stato ancora chiarito, ma una volta che il malware si trova su un nuovo dispositivo, contatta il server C2, che è codificato nel malware, e attende i comandi.
“L’host riceve quindi uno o più comandi di staging a seconda del campione e dell’ambiente host: questi includono comandi per inizializzare la propagazione sfruttando una CVE nota, per propagarsi automaticamente tramite SSH o sfruttando chiavi SSH rubate e per iniziare lo spoofing IP”, si legge nell’analisi di Black Lotus Labs.
Chaos sfrutta i dispositivi non aggiornati
“Sulla base della prima serie di comandi, l’host può ricevere una serie di comandi di esecuzione aggiuntivi, tra cui l’esecuzione della propagazione tramite la CVE designata e gli elenchi di obiettivi specificati, l’ulteriore sfruttamento del target corrente, il lancio di un tipo specifico di attacco DDoS contro un dominio specificato (o IP e porta) ed eseguire il mining di criptovalute”, affermano i ricercatori.
Tra le caratteristiche più pericolose del malware Chaos, che è stato collocato cronologicamente al mese di aprile 2022, come sua data di inizio attività, è doveroso segnalare che non mira unicamente a strutture aziendali di grandi dimensioni, ma anche singoli dispositivi privati, magari in disuso o poco mantenuti, senza quindi aggiornamenti correnti e costanti.
In sostanza, Chaos cerca di sfruttare ovunque sia possibile le vulnerabilità per le quali è concepito, che sono principalmente due: uno nello Zyxel Firewall e uno nel firewall personale Huawei HG532. Entrambi questi bug risalgono a diversi anni fa. Tutti già fixati e aggiornabili da tempo.