Goldoon Botnet: una minaccia per i dispositivi D-Link

La botnet Goldoon ha recentemente attirato l’attenzione dei ricercatori di sicurezza di FortiGuard Labs, che hanno rilevato un’attività sospetta di questa rete di dispositivi infetti mirata specificamente ai dispositivi D-Link.

I dati di telemetria della società di sicurezza di rete indicano un picco nell’attività della botnet intorno al 9 aprile 2024.

Fonte FortiGuard Labs

L’antefatto

La botnet Goldoon sfrutta una vulnerabilità risalente a quasi un decennio fa, identificata come CVE-2015-2051. Questo punto debole nell’interfaccia HNAP dei dispositivi D-Link permette agli attaccanti di eseguire comandi arbitrari attraverso una richiesta HTTP POST ad hoc.

Fonte FortiGuard Labs

Catena d’infezione di Goldoon

La botnet inizia il suo attacco con l’implementazione di uno script dropper, che si auto-elimina per evitare la rilevazione e può operare su un’ampia gamma di architetture di sistema (sistema Linux, tra cui aarch64, arm, i686, m68k, mips64 , mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha e PA-RISC). Una volta che il dispositivo è compromesso, il dropper scarica ed esegue il downloader, preparando il terreno per il rilascio del malware. A questo punto qualsiasi tentativo di accedere all’endpoint direttamente tramite un browser Web visualizza il messaggio di errore di figura.

Spiacenti, sei un agente dell’FBI e non possiamo aiutarti 🙁 Vattene o ti ammazzo 🙂

Le azioni malevole della botnet

Una volta stabilito, il malware Goldoon si impegna in diverse attività. Dapprima inizializza le configurazioni necessarie per la comunicazione di rete e imposta le capacità di autorun per garantire la persistenza sul dispositivo infetto. Successivamente il malware stabilisce una connessione con un server di comando e controllo C2, consentendo agli aggressori di inviare comandi e controllare i dispositivi compromessi a distanza. La botnet è in grado di avviare una varietà di attacchi di tipo Distributed Denial-of-Service (DDoS), utilizzando metodi come il flooding TCP, ICMP e attacchi più specializzati come il Minecraft DDoS.

Raccomandazioni per la sicurezza

Di fronte a questa minaccia, è fondamentale adottare misure preventive per proteggere i propri dispositivi. Si raccomanda vivamente di applicare patch e aggiornamenti e implementare soluzioni di monitoraggio della rete per rilevare traffico anomalo.

In conclusione

Nonostante la vulnerabilità sia stata scoperta nel 2015, molti dispositivi non sono stati aggiornati, lasciando aperta la porta a questa nuova forma di attacco. Vecchie vulnerabilità non corrette rimangono altamente pericolose e possono essere sfruttate da attori malintenzionati per compromettere un numero incalcolabile di dispositivi. L’aggiornamento e la vigilanza possono aiutare a mantenere la sicurezza dei propri dispositivi e reti.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.