Il malware “BillGates” colpisce solo sistemi Linux

Akamai segnala ondate di attacchi che hanno come target macchine Linux. Per le operazioni illecite in corso viene sfruttata una famiglia di trojan denominata “BillGates” perché ha come target Linux e non Windows. Alcuni hacker stanno usando una famiglia di malware che ha come target Linux costruendo botnet per distribuire attacchi DDoS (distributed denial of service). Il primo trojan di questo tipo è stato individuato per la prima volta in Russia nel febbraio del 2014: il nome “BillGates” fu allora assegnato, non senza una punta di humor, per indicare questo malware che stranamente non colpiva i computer con sistema operativo di Redmond.

Il malware è stato etichettato con un fattore di rischio elevato nel threat advisory pubblicato dal Security Intelligence Research Team di Akamai. Benché sia in circolazione da tempo, ondate di attacchi sono state notate in particolare alla fine dello scorso anno.

Akamai spiega di avere individuato picchi distribuiti di 308 Gbps nei suoi data center, sfruttati in congiunzione ad altri tipi di attacchi (con comandi inviati da macchine “zombie”), allo scopo di sommergere il server bersaglio di richieste di connessione. Il sistema usato ricorda XOR DDoS, botnet che si diffonde mediante un trojan introdotto nei sistemi bersaglio attaccando a forza bruta servizi SSH con password deboli. Una volta entrati nei sistemi, gli attaccanti sfruttano i privilegi di root per lanciare uno script che a sua volta scarica ed esegue un file binario malevolo. Il nome XOR DDoS deriva dall’uso massiccio di cifratura XOR sia nel malware, sia nelle comunicazioni di rete con i server C&C (Command and Control).

Akamai spiega che queste botnet sfruttano vari vettori di attacco; ICMP flood, TCP flood, UDP flood, SYN flood, HTTP Flood e DNS query-of-reflection flood, accedendo a porte e servizi con meccanismi simili alla già citata XOR DDoS.