Alfonso Maruccia

Una botnet per censire Internet

Un ignoto smanettone ha infettato centinaia di milioni di dispositivi connessi, traendone una mappa del rischio telematico mondiale riferita a tutto l'anno 2012

Roma - Hacker, ricercatore, malware writer: l'ignoto autore della ricerca Internet Census 2012 rientra probabilmente in tutte e tre le suddette categorie, perché per raggiungere il suo scopo si è servito di un codice malevolo che ha infettato mezza Internet.

Il risultato del lavoro è appunto un "censimento" dei dispositivi vulnerabili connessi in rete, apparati che in taluni casi non dovrebbero avere niente a che fare con la rete pubblica e che sono risultati vulnerabili al codice virale usato nella ricerca.

L'ignoto autore ha sguinzagliato online un codice compreso fra i 46 e i 60 Kbyte (a seconda del tipo di architettura del processore installato), indirizzandolo ai dispositivi di rete (router, ma anche stampanti e altro) che avevano risposto affermativamente alle sue richieste di ping.
Gli apparati (IP) vulnerabili sono risultati essere 420 milioni su 52 miliardi di richieste, spiega l'ignoto ricercatore, e tale numero è confluito nella botnet "Carna" soggetto dello studio: una mappa dell'insicurezza telematica mondiale, prevedibilmente focalizzata soprattutto sulle zone più evolute dal punto di vista delle infrastrutture delle telecomunicazioni come USA, Europa, Giappone, Asia orientale.

Il ricercatore tiene a precisare che tutte le precauzioni sono state prese affinché il bot risultasse invisibile al normale funzionamento dell'apparato infetto, girasse con il minor impatto possibile e vi fosse allegato un file README con indicate le finalità "accademiche" dell'operazione.

<€em>Alfonso Maruccia
Notizie collegate
12 Commenti alla Notizia Una botnet per censire Internet
Ordina
  • interessante anche se vengono dei dubbi, sopratutto sulla parte backend/C&C e "qualita'" dei dati ottenuti...

    - sta roba genera molto traffico "inutile".. ok tu lo splitti sui router violati.. ma il backend server (si suppone almeno) unico.. quindi arriva molta robba. Essendo molta era hostato (suppongo) da qualche parte pagando. Non se n'e' accorto nessuno? l'hoster o i -mila monitoratori (AV,honeypot ecc)?
    - come dicono loro ci han messo 6 mesi.. e se uno dei "-mila monitoratori" iniziava a seguire la traccia e individuarli? per i malware writer russi vale la pena.. ma per uno sgudurioso lavoro statistico?
    - col fatto che le violazioni non sono permanenti, ad ogni reboot del router, si incasina il gioco.. il server ne terra conto (penso?).. impegnativo pero' da gestire..

    e altre varie ed eventuali... compreso il pezzo del "interestingly traceroute on a limited shell" che purtroppo mi sembra spiegato da cani.. ancorche' suoni interessante.

    PS: c'e' da dire che ho letto in fretta.. qualche passaggio forse mi e' sfuggito. Cmq e' roba divertenteSorride (anche se ribadita -le vuln dei soho router & parenti- mille volte da mille persone nell'hackdom)
    non+autenticato
  • il fatto è che se non ti da problemi non sai neanche cosa cercare, comunque hai ragione, è robetta divertenteSorride
    non+autenticato
  • - Scritto da: Giuda
    > il fatto è che se non ti da problemi non sai
    > neanche cosa cercare,
    beh non mi riferivo tanto al singolo utente (che cmq se non fosse ritardato, potrebbe notare in /tmp della roba che non dovrebbe esistere e dei tasks molto strani... cosa che infatti E' capitata per un software analogo -anche se di ispirazione malware, e con una diffusione molto minore- chiamato Aidra e prima ancora con hydra2008), ma ai "signori del monitoring"... cioe questi della botnet hanno sifonato dei terabyte per fare questi scanning... e nessuno si e' accorto di una cippa?Sorride strano, no

    >comunque hai ragione, è robetta divertente
    >Sorride
    gia, lo e'..Con la lingua fuori infatti gli scansionatori "professionisti" ,tipo quelli di metasploit/rapid7, si sono subito lagnati dell'azione criminale, ma stanno gia scaricando il gigantesco malloppo (500gb zippati, mi pare) da analizzare.
    Da un altro lato pero' la trovo MOLTO fastidiosa questa cosa... perche' fara' partire rapidamente due azioni.. una da criminali affamati e l'altra da parte dei monitoratori & agenzie di sicurezza affamate...
    non+autenticato
  • - Scritto da: bubba
    > Da un altro lato pero' la trovo MOLTO fastidiosa
    > questa cosa... perche' fara' partire rapidamente
    > due azioni.. una da criminali affamati e l'altra
    > da parte dei monitoratori & agenzie di sicurezza
    > affamate...
    Non è detto che per i criminali sia una novitàTriste
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: bubba
    > > Da un altro lato pero' la trovo MOLTO fastidiosa
    > > questa cosa... perche' fara' partire rapidamente
    > > due azioni.. una da criminali affamati e l'altra
    > > da parte dei monitoratori & agenzie di sicurezza
    > > affamate...

    > Non è detto che per i criminali sia una novitàTriste
    beh in questa misura direi che e' abbastanza una novita'...
    un filettone da 500GB(!) di portscanning di 3 miliardi di ip (di cui 600mln vivi, mi pare) ,non lo trovi proprio ogni mattina
    non+autenticato
  • ma erano TUTTE macchine linuxA bocca aperta
    non+autenticato
  • - Scritto da: armstrong
    > ma erano TUTTE macchine linuxA bocca aperta
    beh, noSorride

    Pero', in compenso sara' difficile trovarne con Osx, visto che non lo usa nessunoA bocca aperta
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: armstrong
    > > ma erano TUTTE macchine linuxA bocca aperta
    > beh, noSorride
    >
    > Pero', in compenso sara' difficile trovarne con
    > Osx, visto che non lo usa nessuno
    >A bocca aperta
    Beh qualcosina hanno anche loro, questo è fresco:
    http://www.pcmag.com/article2/0,2817,2416908,00.as...
    non+autenticato
  • To perform his "Internet Census 2012" he infected around 420,000 poorly protected embedded devices with what he describes as a harmless bot, named Carna. "Poorly protected" in this case means that either no login credentials were required or standard credentials such as "root:root" or "admin:admin" were able to gain entry.

    Poco c'entra qui il sistema operativo...
    non+autenticato
  • - Scritto da: tesfabpel
    > To perform his "Internet Census 2012" he infected
    > around 420,000 poorly protected embedded devices
    > with what he describes as a harmless bot, named
    > Carna. "Poorly protected" in this case means that
    > either no login credentials were required or
    > standard credentials such as "root:root" or
    > "admin:admin" were able to gain
    > entry.
    >
    > Poco c'entra qui il sistema operativo...
    Sicuro?
    Secondo te cosa ha infettato la cpu?A bocca aperta
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: tesfabpel
    > > To perform his "Internet Census 2012" he
    > infected
    > > around 420,000 poorly protected embedded
    > devices
    > > with what he describes as a harmless bot,
    > named
    > > Carna. "Poorly protected" in this case means
    > that
    > > either no login credentials were required or
    > > standard credentials such as "root:root" or
    > > "admin:admin" were able to gain
    > > entry.
    > >
    > > Poco c'entra qui il sistema operativo...
    > Sicuro?
    > Secondo te cosa ha infettato la cpu?A bocca aperta

    qua si sta "dirottando" il thread... quindi provo a mettere qualche puntino sugli iCon la lingua fuori
    armstrong era partito con perentoria sicumera "TUTTI linux" .. e io replicai con un "beh, no" + uno smiley. E c'era piu di un motivo... ma c'era anche lo smiley...
    Poi il thread sulle pw di default e che poteva capitare a qualunque apparato... e' "si & no".

    Allora facciamo il punto. il report e' volutamente un po vago su alcuni dettagli (quindi non esclude in principio alcun OS o piattaforma), ma la probabilissima sostanza e' che abbiano colpito solo dei device embedded, generalmente router (soho e non) ma compresi anche stb alla dreambox.
    Il cuore portante (ma non esclusivo) e' l'installazione di NMAP, compilato per varie architetture. Idem, rimanendo nel vago, non si escludono device embedded basati su *bsd, qnx, vxworks, wince... ma nei fatti sappiamo che sono oggetti mitologici (o inusabili). Quindi nmap al 99.98% e' stato installato su device Linux.
    MA PERO' lo scanning NON E' stato effettuato SOLO con nmap.. (cioe con un binario installato), ma anche facendo uso di altri piu rozzi artifici. Ne fa un cenno vago con "Some of these machines provided a few diagnosis commands like ping, and interestingly traceroute on a limited shell."
    E al 99% (anche se non lo dice) queste machines sono dei Cisco Ios e dei RomPager. [e da qui la mia obiezione alla perentorieta' di Armstrong ]

    io l'ho letta cosi'...
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: armstrong
    > > - Scritto da: tesfabpel
    > > > To perform his "Internet Census 2012" he
    > > infected
    > > > around 420,000 poorly protected embedded
    > > devices
    > > > with what he describes as a harmless bot,
    > > named
    > > > Carna. "Poorly protected" in this case
    > means
    > > that
    > > > either no login credentials were required
    > or
    > > > standard credentials such as "root:root" or
    > > > "admin:admin" were able to gain
    > > > entry.
    > > >
    > > > Poco c'entra qui il sistema operativo...
    > > Sicuro?
    > > Secondo te cosa ha infettato la cpu?A bocca aperta
    >
    > qua si sta "dirottando" il thread... quindi provo
    > a mettere qualche puntino sugli i
    >Con la lingua fuori
    > armstrong era partito con perentoria sicumera
    > "TUTTI linux" .. e io replicai con un "beh, no" +
    > uno smiley. E c'era piu di un motivo... ma c'era
    > anche lo
    > smiley...
    > Poi il thread sulle pw di default e che poteva
    > capitare a qualunque apparato... e' "si &
    > no".
    >
    > Allora facciamo il punto. il report e'
    > volutamente un po vago su alcuni dettagli (quindi
    > non esclude in principio alcun OS o piattaforma),
    > ma la probabilissima sostanza e' che abbiano
    > colpito solo dei device embedded, generalmente
    > router (soho e non) ma compresi anche stb alla
    > dreambox.
    > Il cuore portante (ma non esclusivo) e'
    > l'installazione di NMAP, compilato per varie
    > architetture. Idem, rimanendo nel vago, non si
    > escludono device embedded basati su *bsd, qnx,
    > vxworks, wince... ma nei fatti sappiamo che sono
    > oggetti mitologici (o inusabili). Quindi nmap al
    > 99.98% e' stato installato su device
    > Linux.
    > MA PERO' lo scanning NON E' stato effettuato SOLO
    > con nmap.. (cioe con un binario installato), ma
    > anche facendo uso di altri piu rozzi artifici. Ne
    > fa un cenno vago con "Some of these machines
    > provided a few diagnosis commands like ping, and
    > interestingly traceroute on a limited
    > shell."
    > E al 99% (anche se non lo dice) queste machines
    > sono dei Cisco Ios e dei RomPager. [e da qui la
    > mia obiezione alla perentorieta' di Armstrong
    > ]
    >
    Per una volta che windows non c'entravaOcchiolino
    non+autenticato