La crescente diffusione dei dispositivi IoT (Internet of Things) basati su Linux ha comportato un corrispondente aumento degli attacchi effettuati tramite botnet o altri tipi di malware. Gli esperti di CrowdStrike hanno rilevato nel 2021 un incremento del 35% rispetto all’anno precedente. I pericoli maggiori sono arrivati da XorDDoS, Mirai e Mozi.
Malware Linux in aumento
Linux è utilizzato in diversi settori e per svariati compiti, ma con livelli di sicurezza differenti. Per i dispositivi IoT connessi ad Internet c’è purtroppo meno attenzione da parte dei produttori (vulnerabilità, porte aperte, credenziali hardcoded e altro), quindi sono diventati molto “appetibili” per i cybercriminali. Molto spesso sono sfruttati per creare una botnet e distribuire malware su larga scala, effettuare attacchi DDoS o installare cryptominer.
Gli esperti di CrowdStrike hanno rilevato che oltre il 22% degli attacchi del 2021 sono stati eseguiti con XorDDoS, Mirai e Mozi. XorDDoS è un trojan che viene utilizzato per attacchi di forza bruta contro i dispositivi IoT. L’obiettivo dei cybercriminali è guadagnare l’accesso tramite SSH.
Mozi è invece una botnet P2P che utilizza una DHT (Distributed Hash Table) per nascondere le comunicazioni con i server C2 (command and control) alle soluzioni di monitoraggio del traffico. In questo caso l’accesso avviene tramite SSH e Telnet con attacchi “brute force”.
Infine, Mirai è una delle botnet più note e offre funzionalità simili a Mozi. Il codice sorgente è stato pubblicato su GitHub cinque anni fa e da allora sono apparse numerose varianti, tra cui Sora, IZIH9 e Rekai. Il numero di attacchi è destinato ad aumentare nei prossimi anni. Entro il 2025 si prevedono oltre 30 miliardi di dispositivi IoT nel mondo.