Gitpaste-12, worm che si diffonde usando GitHub e Pastebin

Come funziona Gitpaste-12, una minaccia ancora poco conosciuta che sta facendo danni proprio grazie al fatto che la maggior parte delle soluzioni per la sicurezza ancora non la riconoscono. Quali sono gli obiettivi e le vulnerabilità che sfrutta.
Michele Nasi
Pubblicato il 6 nov 2020
Gitpaste-12, worm che si diffonde usando GitHub e Pastebin

Un gruppo di ricercatori di Juniper Threat Labs hanno scoperto un nuovo worm, battezzato Gitpaste-12, che utilizza piattaforme quali GitHub e Pastebin per ospitare i suoi componenti e che è in grado di sfruttare una dozzina di vulnerabilità note per aggredire dispositivi hardware come router, telecamere IP, server web, database.
Esaminando il codice alla base del funzionamento del malware, è evidente come gli aggressori intendano estendere gli attacchi ad altre tipologie di dispositivi. Si trovano riferimenti a server Linux x86 oltre che a device IoT ARM e MIPS.

La botnet di Gitpaste-12 ovvero la rete di dispositivi infetti attingeva al contenuto di repository GitHub e URL Pastebin per ricevere indicazioni sulle operazioni da eseguire e nuovi moduli per adattare il funzionamento del codice malevolo installato sui device.

L’attacco iniziale avviene utilizzando una serie di vulnerabilità di sicurezza note e, talvolta, viene utilizzata la tecnica brute force per superare meccanismi di autenticazione basati sull’utilizzo di credenziali deboli. Una volta avvenuta l’infezione, come accennato in precedenza, viene fatto ricorso alle informazioni pubblicate su GitHub e Pastebin per adattare il comportamento del malware che comunque provvede a disattivare firewall e software per la sicurezza (prevenzione e monitoraggio del sistema e della rete).

Nell’analisi pubblicata da Juniper si può trovare la lista delle vulnerabilità attualmente sfruttate che riguardano alcuni router Asus, la funzionalità UPnP nel caso di alcuni router DLink, router Tenda, Netlink GPON, Huawei oltre agli encoder video HiSilicon, ad Apache Struts, al plugin Webadmin per opendreambox, ad alcune videocamere IP e ad altri componenti.

È quindi fondamentale assicurarsi che tutti i dispositivi collegati alla propria rete utilizzino gli aggiornamenti di sicurezza rilasciati dai produttori, specie se si usassero prodotti nell’elenco condiviso da Juniper.

Gitpaste-12 è un worm perché una volta infettato un sistema va automaticamente alla ricerca di altre potenziali vittime da aggredire e aggiungere alla botnet.

È importante tenere la guardia alta perché sono pochi (al momento si contano sulle dita di una mano) i motori di scansione antimalware che riescono a rilevare e bloccare Gitpaste-12.

Ovviamente tutti gli URL su GitHub e Pastebin al momento usati dal malware sono stati nel frattempo bloccati e rimossi.

Ti consigliamo anche

Router sotto assedio: attacco malware per rubare password agli utenti
Vulnerabilità

Router sotto assedio: attacco malware per rubare password agli utenti
Discord blocca Spy.pet, servizio che raccoglie i dati di milioni di utenti
Vulnerabilità

Discord blocca Spy.pet, servizio che raccoglie i dati di milioni di utenti
Allerta Brokewell, il malware che si finge un aggiornamento di Chrome
Vulnerabilità

Allerta Brokewell, il malware che si finge un aggiornamento di Chrome
Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware
Vulnerabilità

Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware
Link copiato negli appunti