Ricordate quando segnalavamo che in rete si trovano fin troppi nodi RDP (Remote Desktop Protocol) liberamente raggiungibili e senza adeguate forme di protezione? Era solo questione di tempo perché qualcuno pensasse a sfruttare massivamente questo scenario poco sicuro, stimolato anche dal fatto che per RDP ogni tanto spunta qualche vulnerabilità da correggere. La più recente, battezzata BlueKeep, è giusto di un mese fa circa.

Ora i ricercatori di Morphus Labs hanno rilevato la presenza di una botnet, battezzata GoldBrute, che in questi giorni sta cercando di violare i nodi RDP (quindi sistemi Windows con RDP attivo) attraverso un attacco non molto sofisticato - è un classico attacco "brute force" - ma efficace per gli alti volumi di connessioni che sta instaurando. Morphus Labs ha recuperato il codice dei malware usati per far crescere la botnet e ha potuto quindi delineare con precisione il suo funzionamento.

La botnet è costituita dagli stessi nodi RDP, man mano che vengono violati e "conquistati", ed è controllata da un unico server C&C (Command and Control), ben identificato perché il suo indirizzo IP è indicato staticamente nel codice del malware. I vari nodi della botnet comunicano con questo server attraverso connessioni cifrate.

Una volta violato, un nodo RDP è portato a scaricare un file di dimensioni abbastanza corpose (circa 80 megabyte) che contiene sia il normale runtime Java sia un malware scritto appunto in Java, camuffato da libreria DLL. Il codice del malware porta il nodo RDP a scansionare Internet alla ricerca di altri nodi RDP senza protezione. Se li trova, invia i loro indirizzi IP al server di comando e controllo.

Le informazioni raccolte da Shodan sul numero di nodi RDP raggiungibili in rete
Questa fase di scansione alla ricerca di ulteriori bersagli termina quando il nodo ha identificato 80 server RDP che non erano già noti al server C&C. A questo punto il nodo passa dalla scansione all'attacco vero e proprio. Riceve dal server di comando e controllo una sequenza di combinazioni host/username/password e per ciascuna cerca di avere accesso a quell'host (un nodo RDP) usando la combinazione username/password che ha ricevuto.

È interessante notare che per ogni host da attaccare il nodo riceve una sola combinazione username/password, quindi cerca di violarlo una volta sola. Ma uno stesso host sarà attaccato da molti nodi della botnet con altre username e altre password, quindi nel complesso riceverà decine di migliaia di tentativi di accesso. È un attacco a forza bruta massivo, ma fatto in modo che eventuali sistemi a protezione del server RDP attaccato non rilevino una sequenza di tentativi di connessione provenienti da un medesimo nodo.

Morphus Labs ha modificato il codice del malware di GoldBrute per capire quanto la botnet stia cercando di crescere. In sintesi, i ricercatori hanno fatto in modo di salvare sui propri sistemi le sequenze host/username/password che il server di comando e controllo invia ai nodi della botnet per poi attaccarli. In sei ore il server ha "comandato" l'attacco verso oltre due milioni di indirizzi IP, di cui circa 1,6 milioni di indirizzi IP unici sparsi in tutto il globo.

Col passare del tempo questo numero può aumentare, ma è già elevato. Il motore di ricerca Shodan identifica qualcosa come 2,4 milioni di server RDP non protetti e raggiungibili via Internet a livello mondiale, quindi l'elenco di nodi da attaccare che la botnet GoldBrute ha compilato è già vicino a questo totale. Che però è sempre parziale, quindi GoldBrute può fare anche meglio di Shodan nell'identificare nodi RDP vulnerabili.