Gafgyt torna a colpire: una botnet sfrutta vulnerabilità nei dispositivi D-Link

6 Marzo 2021 Nicola Fioranelli
gafgyt malware botnet d-link

Alcuni dispositivi D-Link sembrano essere sfruttati grazie ad una vulnerabilità da una variante del già noto malware, Gafgyt. La notizia è stata divulgata dai ricercatori del gruppo Netlab 360 che si sono messi a studiare la nuova variante. Sembrerebbe che i preferiti dal malware siano soprattutto alcuni router D-Link e potenzialmente dei dispositivi Internet of Things (IoT).

Che cos’è Gafgyt, il malware che sfrutta le vulnerabilità nei D-Link

Gafgyt è noto malware, apparso per la prima volta nel 2014 e poi diffusosi nel corso degli anni con altri nomi che attraverso vulnerabilità di vari dispositivi è in grado di organizzare un attacco diffuso. Questa tipologia di virus non danneggia direttamente il computer infettato ma lo sfrutta come arma d’attacco verso un obiettivo più grande. In questi casi si parla di Distributed Denial of Service (DDoS), un attacco che utilizza una batteria di dispositivi, ignari di essere infetti, per colpire tipicamente un servizio di una grande azienda, saturandone le risorse.

Una botnet sfrutta una serie di dispositivi per sferrare un attacco contro un unico obiettivo, saturandone le risorse.

Cerchiamo di capire come funziona nel dettaglio:

  1. Gli utenti navigando sul web possono incorrere nel malware che sfruttando una probabile vulnerabilità nota del sistema ne riesce a prendere il controllo;
  2. Una volta raggiunta una notevole quantità di dispositivi infettati, l’attaccante prepara l’istante in cui partiranno le richieste verso il servizio da saturare;
  3. Al momento opportuno, tutti i dispositivi inizieranno a fare richieste al server attaccato, contemporaneamente e in modo continuativo;
  4. Il server, che tipicamente ha una certa quantità di banda a disposizione, si ritroverà però a gestire una mole di richieste inaspettata che potrebbe causare, nel migliore dei casi, l’impossibilità di accettare le richieste dai veri utilizzatori, nel peggiore dei casi, malfunzionamenti più estesi.

Gafgyt è in grado di sferrare attacchi tramite i protocolli TCP e UDP, aprendo numerose connessioni verso il server attaccato. La sua evoluzione Gafgyt_tor sfrutta per la fase di coordinamento la rete Tor, rendendolo di fatto più difficile da trovare e fermare.

Tor Network

Il complesso sistema di rete definito Tor Network è molto spesso noto per essere il dark web. In questo mondo, parallelo rispetto a Internet, è più difficile rintracciare macchine e trasmissioni perché tutta la navigazione si basa sull’anonimato. Questo concetto è ottenuto grazie a una vastissima rete di router connessi fra di loro grazie a comunicazioni cifrate a strati (da cui il nome onion router per analogia con gli strati della cipolla).

In sostanza, mentre quando ci connettiamo a un servizio web su Internet, la connessione si instaura tra noi (il client) e il servizio web (il server), sul dark web la connessione avviene per pezzi da un router all’altro attraverso un circuito virtuale fra i nodi Tor. Naturalmente, maggiori saranno i router utilizzati durante il percorso, più difficile sarà ritrovare l’autore della richiesta.

Gafgyt_tor utilizza proprio il meccanismo dell’anonimato per comunicare con il server di Comando e Controllo (C2) senza farsi identificare. Infatti, nella fase iniziale dell’infezione instaura una connessione verso un Tor proxy (da una lista di oltre cento nodi e in continua espansione) e a quel punto chiede istruzioni al server C2 attraverso il dark web.

Diffusione di GagFyt

Al momento sembrerebbe che la propagazione del malware avvenga principalmente attraverso password di Telnet deboli e le seguenti tre vulnerabilità:

  • D-Link Remote Code Execution (CVE-2019-16920); l’attaccante è in grado di ottenere il controllo completo del sistema (in questo caso alcuni dispositivi D-Link) inviando un input arbitrario all’interfaccia del gateway (CGI);
  • Liferay Portal Remote Code Execution (CVE-2020-7961); si sfrutta la deserializzazione di oggetti JSON per impadronirsi del server remoto (Liferay, infatti, è un CMS basato su Java per gestire i contenuti web);
  • Citrix Remote Code Execution (CVE-2019-19781); una vulnerabilità riguardante l’Application Delivery Controller e il Gateway Citrix che, sfruttando l’esecuzione remota di codice, permette di attraversare il file system.
Le vulnerabilità dei dispositivi sono usate dal malware per prendere possesso del sistema.

Contromisure

Seppure questi attacchi non ci tocchino direttamente (anche se potremmo essere delle ignare vittime sacrificali) bisogna prestare la massima cautela a ciò che scarichiamo dal web. Analisi periodiche degli antivirus possono ad ogni modo scongiurare la presenza di software malevolo nei nostri computer. Per quanto riguarda i dispositivi, invece, è sempre bene mantenere il software aggiornato perché eventuali vulnerabilità possono essere sistemate nel corso di aggiornamenti.

Infine, coloro che sono le vittime finali dell’attacco distribuito possono adottare tecniche e strumenti avanzati (ma che si rifanno ai firewall per dirla con parole semplici) in grado di identificare un uso fuori dal comune della rete o delle risorse del sistema. Durante queste circostanze, se gli automatismi vedono un comportamento insolito possono decidere di rifiutare le connessioni in entrata da un certo indirizzo o da una certa porta, salvaguardando la salute del sistema.