La botnet Goldoon ha recentemente attirato l’attenzione dei ricercatori di sicurezza di FortiGuard Labs, che hanno rilevato un’attività sospetta di questa rete di dispositivi infetti mirata specificamente ai dispositivi D-Link.
I dati di telemetria della società di sicurezza di rete indicano un picco nell’attività della botnet intorno al 9 aprile 2024.
L’antefatto
La botnet Goldoon sfrutta una vulnerabilità risalente a quasi un decennio fa, identificata come CVE-2015-2051. Questo punto debole nell’interfaccia HNAP dei dispositivi D-Link permette agli attaccanti di eseguire comandi arbitrari attraverso una richiesta HTTP POST ad hoc.
Catena d’infezione di Goldoon
La botnet inizia il suo attacco con l’implementazione di uno script dropper, che si auto-elimina per evitare la rilevazione e può operare su un’ampia gamma di architetture di sistema (sistema Linux, tra cui aarch64, arm, i686, m68k, mips64 , mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha e PA-RISC). Una volta che il dispositivo è compromesso, il dropper scarica ed esegue il downloader, preparando il terreno per il rilascio del malware. A questo punto qualsiasi tentativo di accedere all’endpoint direttamente tramite un browser Web visualizza il messaggio di errore di figura.
Le azioni malevole della botnet
Una volta stabilito, il malware Goldoon si impegna in diverse attività. Dapprima inizializza le configurazioni necessarie per la comunicazione di rete e imposta le capacità di autorun per garantire la persistenza sul dispositivo infetto. Successivamente il malware stabilisce una connessione con un server di comando e controllo C2, consentendo agli aggressori di inviare comandi e controllare i dispositivi compromessi a distanza. La botnet è in grado di avviare una varietà di attacchi di tipo Distributed Denial-of-Service (DDoS), utilizzando metodi come il flooding TCP, ICMP e attacchi più specializzati come il Minecraft DDoS.
Raccomandazioni per la sicurezza
Di fronte a questa minaccia, è fondamentale adottare misure preventive per proteggere i propri dispositivi. Si raccomanda vivamente di applicare patch e aggiornamenti e implementare soluzioni di monitoraggio della rete per rilevare traffico anomalo.
In conclusione
Nonostante la vulnerabilità sia stata scoperta nel 2015, molti dispositivi non sono stati aggiornati, lasciando aperta la porta a questa nuova forma di attacco. Vecchie vulnerabilità non corrette rimangono altamente pericolose e possono essere sfruttate da attori malintenzionati per compromettere un numero incalcolabile di dispositivi. L’aggiornamento e la vigilanza possono aiutare a mantenere la sicurezza dei propri dispositivi e reti.