LunoBotnet è una creatura silenziosa, astuta e progettata per resistere. Immaginate un parassita che non solo si insedia nei vostri sistemi, ma che possiede anche un meccanismo di autoguarigione in grado di rigenerarsi dopo un tentativo di rimozione. È questa la minaccia reale che sta prendendo di mira infrastrutture Linux, in particolare quelle basate su cloud.
Scoperto e analizzato dai ricercatori di Cyble, LunoBotnet è un esempio lampante di come l’evoluzione del cybercrime stia puntando tutto sull’efficienza e la persistenza. Combina in un’unica entità due attività criminali redditizie: il crypto-mining e gli attacchi Distributed Denial-of-Service (DDoS). Ma la sua pericolosità non risiede solo nella doppia funzionalità, bensì nella sua architettura modulare e nelle sofisticate tecniche di persistenza che lo rendono estremamente difficile da debellare.
Il vettore di infezione preferito sembra essere il Docker Engine, la popolare piattaforma di containerizzazione. Gli attaccanti sfruttano istanze esposte, spesso lasciate incustodite su Internet con le credenziali di default o con autenticazione disabilitata. Una volta ottenuto l’accesso, il container vittima viene trasformato in una testa di ponte. Al suo interno, gli aggressori eseguono uno script iniziatore che dà il via all’infezione sistemica vera e propria.
Il cuore dell’operazione è uno shell script altamente offuscato. La sua prima missione è di blindare il processo, disattivando i segnali di interruzione standard per evitare una facile terminazione. Successivamente, si muove con precisione chirurgica attraverso il sistema: disabilita i watchdog di sicurezza, termina i processi legittimi che consumano risorse di CPU (per lasciare campo libero al mining), e soprattutto, elimina la concorrenza. Sì, LunoBotnet è spietato anche con gli altri malware, neutralizzando processi noti di miner rivali come kswapd0 e Watchdogs per assicurarsi il monopolio sulle risorse del sistema violato.
La sua natura modulare gli permette di essere aggiornato dinamicamente. La botnet mantiene una comunicazione costante con un server C2 (Command and Control), da cui può scaricare nuovi componenti o aggiornare quelli esistenti. Questo lo rende un avversario mutevole, in grado di adattarsi e implementare nuove funzionalità in tempo reale.
Ma è il meccanismo di “self-healing” a essere geniale e diabolico. LunoBotnet non si accontenta di installarsi; si integra nel sistema in modo profondo per garantire la sua sopravvivenza. Crea script di persistenza in cron, il demone di scheduling dei task di Linux, configurandoli per eseguire il payload a intervalli regolari. Se un amministratore di sistema dovesse scoprire e eliminare il processo maligno, il cron job entrerebbe in azione al successivo ciclo, reinstallando silenziosamente l’infezione e vanificando così ogni sforzo di remediation. È un gioco infinito del gatto con il topo, dove il topo ha la capacità di resuscitarsi.
La monetizzazione avviene su due fronti. Il primo è il classico crypto-mining, con la botnet che sfrutta la potenza di calcolo rubata per minare Monero (XMR), una criptovaluta apprezzata per la sua privacy. Il secondo è un servizio DDoS su richiesta. Gli operatori di LunoBotnet possono noleggiare la potenza di fuoco della loro botnet a terzi per sferrare attacchi devastanti, aggiungendo un flusso di revenue supplementare e pericoloso.
La lezione di LunoBotnet è chiara. La sicurezza nel cloud diventà così una questione che riguarda il modo di prepararsi a scenari in cui l’intruso, una volta dentro, fa di tutto per restarci. La superficie di attacco si è ampliata con l’adozione massiccia dei container, e configurazioni non sicure sono un invito aperto per minacce così avanzate.
Difendersi richiede una strategia a più livelli: hardening delle istanze esposte, monitoraggio continuo dei processi e del consumo anomalo di CPU, e una rigorosa igiene di sicurezza che includa la scansione non solo per le minacce conosciute, ma anche per i comportamenti sospetti che potrebbero indicare la presenza di una botnet che, come un nano di Borg, si assimila e si rigenera. LunoBotnet è un organismo parassita digitale progettato per l’endurance. E sta già infettando il cloud.