Il team di ricerca di Aqua Nautilus ha scoperto una nuova e diffusa campagna di Distributed Denial-of-Service (DDoS) orchestrata da un attore di minacce noto come Matrix. Questa campagna sfrutta vulnerabilità e configurazioni errate nei dispositivi connessi a Internet, in particolare nei sistemi IoT (Internet of Things) e aziendali.

Nonostante alcuni indicatori suggeriscano un’affiliazione russa, l’assenza di obiettivi ucraini indica una mancanza di motivazione politica, concentrandosi invece sul guadagno finanziario.

Gli attacchi hanno preso di mira principalmente indirizzi IP situati in Cina, Giappone e, in misura minore, Argentina, Australia, Brasile, Egitto, India e Stati Uniti.

Metodologia di attacco

Matrix utilizza una combinazione di script pubblicamente disponibili, attacchi brute-force e credenziali deboli per creare una botnet capace di causare interruzioni su scala globale.

Lo screenshot pubblicato da Aqua Nautilus mostra ad esempio un pacchetto, catturato durante l’indagine, che indica un accesso riuscito ad una telecamera utilizzando le credenziali predefinite del dispositivo.

Fonte: Aqua Nautilus.

Gli attacchi iniziano con la scansione di dispositivi vulnerabili, seguita dall’esecuzione di exploit per ottenere l’accesso iniziale. I dispositivi presi di mira includono telecamere IP, DVR, router e altre apparecchiature di telecomunicazione.

“La maggior parte delle vulnerabilità si concentra sui dispositivi IoT (CVE-2022-30525, CVE-2022-30075, CVE-2018-10562, CVE-2018-10561, CVE-2018-9995, CVE-2017-18368, CVE-2017-17215, CVE-2017-17106 e CVE-2014-8361). Ciò rafforza l’obiettivo primario dell’autore della minaccia: compromettere i dispositivi IoT con misure di sicurezza minime per espandere la propria botnet DDoS, consentendo a tali dispositivi di rimanere compromessi per periodi prolungati”, spiega Assaf Morag, Director of Threat Intelligence at Aqua Nautilus.

I ricercatori hanno anche osservato che l’autore della minaccia sfrutta server Telnet, SSH e Hadoop non configurati correttamente, concentrandosi in particolare sugli intervalli di indirizzi IP associati ai provider di servizi cloud CSP (Cloud Service Provider) principalmente Amazon Web Services (AWS) e Microsoft Azure.

Fonte: Aqua Nautilus.

L’attività di questa campagna che si basa inoltre su una vasta gamma di strumenti pubblici su GitHub, distribuisce infine sui dispositivi e server compromessi, il malware botnet Mirai e diversi strumenti DDoS tra cui PYbot, pynet, DiscordGo e Homo Network.

È stato anche scoperto che Matrix ha impiegato un proprio account GitHub, aperto nel novembre 2023, per archiviare e gestire script DDoS scritti principalmente in Python, Shell e Golang.

Fonte: Aqua Nautilus.

Quali implicazioni per la sicurezza

Poiché si ritiene che Matrix offra per condurre gli attacchi DDoS dei piani con servizi a pagamento tramite un bot Telegram denominato “Kraken Autobuy”, questa campagna rappresenta un’evoluzione preoccupante nel panorama delle minacce, dove anche i cosiddetti “script kiddies” possono sfruttare strumenti open-source per eseguire attacchi sofisticati e su larga scala.

La campagna DDoS di Matrix evidenzia, infatti, come strumenti accessibili e una conoscenza tecnica minima possano consentire attacchi su larga scala.

“Questa campagna, pur non essendo particolarmente sofisticata, dimostra come strumenti accessibili e conoscenze tecniche di base possano consentire a singoli individui di eseguire un attacco ampio e multiforme su numerose vulnerabilità ed errori di configurazione nei dispositivi connessi alla rete”, afferma Morag.

Fonte: Aqua Nautilus.

Per difendersi da tali minacce, è fondamentale implementare misure di sicurezza robuste, come l’aggiornamento regolare dei firmware, l’uso di credenziali forti e un monitoraggio continuo delle reti per rilevare attività sospette.

Inoltre, l’adozione di soluzioni di sicurezza avanzate può aiutare a mitigare i rischi associati a queste campagne DDoS.

Ovviamente, la proliferazione di strumenti di hacking plug-and-play e l’uso crescente dell’intelligenza artificiale complicano la situazione amplificando la pericolosità di questa minaccia.