I ricercatori di sicurezza hanno scovato una botnet di server Linux infetti sfruttata da ignoti cyber-criminali per condurre attacchi Distributed Denial of Service (DDoS) di notevoli dimensioni, una rete costruita sulle fragili fondamenta di una opsec non adeguata ai rischi che si corrono connettendo un computer alla Internet moderna.
XOR DDoS, questo il nome con cui Akamai identifica la botnet , è in circolazione da almeno un anno ed è ora utilizzata per lanciare una media di 20 attacchi DDoS al giorno: il 90 per cento degli attacchi è indirizzato ai sistemi telematici presenti in Asia, mentre il target prediletto dai cyber-criminali è il settore videoludico con le istituzioni educative in seconda posizione.
Il trojan alla base di XOR DDoS viene installato su server Linux dotati di shell remota SSH, servizio compromesso con un attacco a forza bruta contro la password di accesso: una volta installato, il malware garantisce ai criminali la possibilità di inondare l’obiettivo con grandi quantità di dati con o senza spoofing dell’indirizzo IP del bot.
Il traffico di rete che XOR DDoS è in grado di movimentare più variare dal singolo Gigabit fino a 179 Gbps, stimano i ricercatori, una capacità di attacco di tutto rispetto considerando i 400 Gbps del più grande evento DDoS mai registrato in rete.
L’utilizzo dei sistemi Linux mal protetti per la costruzione di botnet DDoS è una pratica molto più frequente oggi rispetto al passato, avverte Akamai, e nel caso di XOR DDoS i consigli di profilassi includono la disabilitazione della shell SSH o l’utilizzo di una password robusta a prova di cracking.
Alfonso Maruccia