Cybersecurity: Le botnet IoT infettate da Mirai attaccano ancora. Stavolta il bersaglio è una nazione
Il prossimo bersaglio dei computer zombie che hanno attaccato il provider Dyn potrebbe essere un paese europeo a meno che non impariamo a proteggere la nostra Internet of Things
Arturo Di Corinto per Cybersecurity del 4 novembre 2016
Le botnet controllate dal malware Mirai stanno attaccando di nuovo. E come avevamo scritto sulla base dell’allarme di Bruce Schneier, il bersaglio stavolta potrebbe essere un’intera nazione.
Questa è almeno la tesi di Kevin Beaumont, ricercatore in cybersecurity, che, notando un insolito volume di traffico verso la Liberia, ha potuto osservare una serie di attacchi DDoS contro il network di “Lonestar Cell MTN “, la compagnia di telecomunicazioni che fornisce Internet al piccolo paese africano grazie al cavo sottomarino ACE.
In questo caso si tratta della Botnet #14 o Shadow Kill, come è stata rinominata da Beaumont, e l’entità degli attacchi sarebbe di circa 500 Gbps (Gigabit per secondo è un’unità di misura che indica la capacità (quindi velocità) di trasmissione dei dati su una rete informatica).
Come funziona il malware Mirai
Per capire la pericolosità di quanto sta accadendo, è bene ricordare che la botnet Mirai è quella che ha messo offline con un attacco DDoS (Distributed Denial of Service), mezza East Coast degli stati uniti il 21 ottobre scorso rendendo impossibile usare i servizi di Twitter, Amazon, Netflix, New York Times, eccetera, per diverse ore, con effetti che si sono sentiti anche in Europa. All’epoca la Mirai botnet responsabile lo ha fatto usando circa 100.000 telecamere connesse a Internet basate su schede della cinese XiongMai Technologies, tutte con lo stessa username e password.
Già perché Il funzionamento del software Mirai è semplice: pensato inizialmente per analizzare i dispositivi insicuri della Internet of things (IoT), Mirai esamina la rete alla ricerca di dispositivi visibili e quando trova un dispositivo IoT vulnerabile, lo infetta automaticamente e lo aggiunge al suo esercito botnet. E ci riesce facilmente perché il software prova a impadronirsene usando login e password di fabbrica dei dispositivi stessi che, come detto, sono spesso gli stessi di fabbrica e non vengono mai o quasi mai cambiati dagli utilizzatori. Una volta reclutati questi dispositivi possono essere “risvegliati” per un attacco DDoS su larga scala.
Il prossimo bersaglio potrebbe essere un paese europeo
Ora questi nuovi attacchi, che possono arrivare a 10 Tbps (Terabit per secondo), stanno prendendo di mira una nazione, la Liberia, servita da un cavo che va dalla Francia al Sudafrica e che porta 5.12 Tps suddivisi per 23 nazioni.
Se consideriamo che dopo la diffusione del codice sorgente di Mirai da parte di “Anna-senpai”, questo lo pseudonimo dell’autore che l’ha scritto in linguaggio C, rivendicandolo in un forum di hacker, la capacità di controllo delle botnet controllate da Mirai potrebbe essere decuplicata e rendere veramente semplice isolare un intero paese dal resto di Internet con un nuovo attacco DdoS, capace di sovraccaricare qualsiasi servizio internet e avendo come effetto quello di non renderlo disponibile al legittimo utilizzatore.
Immaginate cosa potrebbe succedere se una IoT botnet di questo tipo prendesse di mira le infrastrutture critiche di un paese moderno che si affida ogni giorno alla rete per il funzionamento dei suoi servizi essenziali come i trasporti, la sanità e l’energia.
Per impedirlo c’è una sola soluzione: mettere in sicurezza tutti i dispositivi IoT che usiamo ogni giorno a casa e in ufficio: dalla smart tv alle fotocopiatrici.
Leggi anche “Internet of things: 10 cose da fare subito per mettere al sicuro casa, dati e ufficio secondo Microsoft & Co.“