I ricercatori di Lumen hanno scoperto una botnet in grado di infettare un numero elevato di dispositivi con Windows e Linux, e basati su architetture x86, ARM, MIPS e PowerPC, inclusi router e server enterprise. Chaos è scritta in linguaggio Go e può essere utilizzato per eseguire attacchi DDoS e di cryptomining. A differenza di altre botnet, Chaos sfrutta note vulnerabilità e la forza bruta per l’accesso SSH. Il consiglio è installare una soluzione di sicurezza per limitare i rischi.
Chaos: botnet multi-piattaforma
Non è noto l’iniziale vettore di accesso, ma gli esperti di Chaos hanno scoperto la catena di infezione analizzando il codice. In seguito all’installazione sul dispositivo ospite, la botner stabilisce la persistenza (la versione Windows crea una specifica chiave nel registro). Successivamente contatta il server C2 (command and control) per ricevere i comandi.
I metodi di infezione sono tre. Il primo prevede lo sfruttamento di note vulnerabilità presenti nei dispositivi target. Chaos utilizza inoltre la forza bruta per effettuare l’accesso tramite SSH. Può infine usare la tecnica nota come IP spoofing. Le due funzionalità principali della botnet sono il cryptomining (Monero) e gli attacchi DDoS con i dispositivi controllati (la maggioranza si trova in Europa, Nord America e Cina).
Gli utenti dovrebbero innanzitutto installare gli aggiornamenti dei dispositivi (router in particolare) e dei sistemi operativi. È inoltre consigliato l’uso di una soluzione di sicurezza con firewall integrato, come Bitdefender Total Security.