La Botnet Satori-Mirai si risveglia improvvisamente con oltre 280.00 bot attivi.

 
 
I ricercatori di sicurezza di Qihoo 360 Netlab  hanno lanciato l'allarme in merito a una nuova botnet, denominata Satori, che è stata vista attiva su oltre 280.000 IP diversi nelle ultime 12 ore. Satori, parola giapponese che sta per ''risveglio'', in realtà non è nuova, ma è una variante del già noto malware DDoS di Mirai IoT. Uno dei ricercatori di Qihoo 360 Netlab, Li Fengpei ha descritto Satori in un report e ha affermato che questo si è diffuso velocemente a partire da 4 giorni fa. 

Un passo avanti e uno indietro, nella lotta alle botnet quindi: giusto qualche giorno fa una task force tra Polizie di vari stati e esperti di sicurezza informatica hanno abbattuto la botnet Andromeda, composta da computer infettati con l'omonimo malware.

Le differenze tra la variante Satori e le precedenti versioni di Mirai:
Stando al report di Li, la variante Satori Mirai presenta svariate differenze rispetto alla precedente versione di Mirai.  Le precedenti versioni di Mirai colpivano dispositivi IoT, quindi scaricavano una componente scanner Telnet nel tentativo di tovare altre vittime, infettarle e rendere bot della botnet. 
 
La variante Satori non utilizza uno scanner ma usa due exploit collegati che provano a connettersi ai dispositivi remoti sulle porte 37215 e 52869. Ciò rende valida, per  Satori, la classificazione di worm per ioT,dato che è in grado di diffondersi da solo, senza la necessità di componenti aggiuntivi. 

Una crescita alimentata dal misterioso exploit Huawey (zero-day?)
Dalla telemetrie raccolta ottenuta dall'infrastruttura di Netlab, Li ha osservato 263.250 differenti IP in scansione sulla porta 37215 e altre 19403 indirizzi IP sulla porta 52869. Sono oltre 280.000 bot nella sola  giornata di Martedì. 
 
 
 
Una botnet che riesce a diffondersi in queste dimensioni è di enorme rilievo. Il successo di Satori  in larga parte è avvenuto grazie all'exploit con il quale "viola" la porta 37215. Stando alla descrizione di Li, questo vulnerabilità sembra essere una ''zero day''.

"Quella sulla porta 37215 non è ancora stato reso nota, il nostro team ha monitorato questo aspetto negli ultimi giorni e ha ottenuto alcune informazioni, ma non ne discuteremo", ha detto Li. 

Dale Drew, lo stratega-capo della sicurezza del  provider di Internet a banda larga CenturyLink, ha detto ad ArsTechnica in un'intervista che questa botnet  sfrutta una vulnerabilità ''zero day''  nei router Huawei Home Gateway: si tratterebbe di un bug di esecuzione di codice remoto rilevato alla fine di Novembre e del quale sono disponibili pochissimi dettagli. 
 
 
Per quanto riguarda l'altro exploit sulla porta 52869,  si tratta di una vecchia e nota vulnerabilità nei  dispositivi Realtek  (CVE-2014-8361), risolta nella maggior parte dei dispositivi: questo il motivo per il quale il secondo exploit sta avendo molto meno successo. 

Satori ha collegamenti con una precedente botnet Mirai:
Li, nel suo report, ha sottolineato inoltre l'esistenza di alcuni collegamenti tra la botnet creata con Satori Mirai e un altra botnet, basata sempre su Mirai, che Netlab ha osservato lo scorso mese: comprende circa 100.000 nodi, la maggior parte situati in Argentina.

Non è chiaro se sia la stessa persona ad eseguire  entrambe le botnet, ma il fatto che l'attuale variante di Mirai Satori e la precedente variante di Mirai condividono nomi dei file,  caratteristiche statiche e alcuni dei protocolli C2, è un forte indizio. Altri ricercatori di sicurezza hanno confermato il sospetto  che le due botnet siano correlate e come  Satori sia una  continua evoluzione rispetto alla variante Mirai individuata mese scorso