satoriGli hacker di tutto il mondo sono sempre pronti a creare malware sempre più sofisticati per gli scopi di ogni genere. L’ultima grande ondata di preoccupazione  è nata a causa di un malware molto potente quanto pericoloso, che è capace di minacciare seriamente l’IoT (Internet of Things, “l’Internet delle cose”); il suo nome è Mirai ed è assurto agli onori della cronaca per alcuni attacchi DDos avvenuti nel quarto trimestre del 2016 tra cui uno a danno di una società statunitense la Dyn che forniva servizi ai più grandi siti del mondo, tra cui Netflix, Twitter, Spotify, Amazon, PayPal e Reddit.

Senza entrare troppo nel dettaglio, Mirai trasforma i sistemi informatici in botnet, cioè elementi di una rete, grandissima in questo caso, gestita da remoto e che può essere utilizzata per attacchi su larga scala come quelli di un anno e mezzo fa. Mirai in particolare prendeva di mira router wi-fi e telecamere per uso privato, quindi elementi facenti parte proprio dell’IoT.

Subito dopo gli attacchi su larga scala, che hanno ovviamente attirato prepotentemente l’attenzione delle autorità di tutto il mondo (tra i Paesi colpiti oltre agli USA c’erano Brasile e Colombia), sui forum di hacker, l’autore ha pubblicato il codice sorgente di Mirai, permettendo quindi ad altri di utilizzarlo al fine di sviluppare altri malware che risultano quindi essere gli eredi di Mirai.

Tra questi negli ultimi tempi era diventato noto il malware che passa sotto il nome di Satori (da giapponese, risveglio); esso era utilizzato con gli stessi scopi del suo progenitore. O almeno questo si credeva fino a quando nella prima metà di gennaio il comparto di sicurezza dell’azienda cinese Qhioo Netlab 360 ha riconosciuto una versione di Satori finalizzata all’infiltrarsi all’interno dei sistemi informatici dedicati al mining di criptovalute.

Satori, Ethereum e Bitcoin sono in pericolo

In particolare è stato scoperto che il virus ha lo scopo di prendere il controllo di Clymore Mining, un programma che viene utilizzato per minare la criptovaluta Ethereum. Non si conoscono bene tutti i dettagli, ma si sa che Satori agisce tramite la porta 3333, la quale non richiede alcuna autorizzazione se all’interno di Claymore Mining vengono lasciate le impostazioni di default e da qui riesce a prendere controllo del software.

A questo punto l’azione lesiva compiuta è quella di modificare il wallet di destinazione (letteralmente “portafogli”, ovvero il luogo virtuale dove vengono immagazzinati i proventi dell’attività di mining). In tal modo il flusso di monete virtuali viene indirizzato altrove (in genere si tratta del wallet di proprietà dell’hacker) e il malcapitato viene a conoscenza della situazione solo controllando manualmente le impostazioni del software.

Per quanto riguarda modalità ed entità di diffusione, per ora si sa che Satori si diffonde come un qualsiasi worm, vale a dire con una crescita esponenziale, in quanto da ogni dispositivo infetto il malware cerca altri sistemi e prova ad infettarli. Non si sa quanti sistemi siano infetti, fino ad oggi si è ipotizzata una diffusione che varia da poche decine ad alcune centinaia di dispositivi (che dipende dalla GPU da essi utilizzata). Sembra comunque che questo malware configuri un nuovo target elettivo da parte dei ciber-criminali.