la-repubblica-it-logo

Attacco hacker a Telekom, così la botnet Mirai colpisce l’Internet delle cose

Il malware che trasforma apparati informatici come le webcam e i router connessi a internet in computer zombie ha colpito ancora. Presi di mira i router del gestore di telefonia tedesco. Gli esperti: ”Bisogna mettere in condizione gli utenti di aggiornare il software”

di ARTURO DI CORINTO per La Repubblica del 30 Novembre 2016

L’AVEVAMO previsto e purtroppo è successo. Un derivato della botnet Mirai è stato usato per mettere KO le connessioni internet e telefoniche di circa un milione di tedeschi. L’attacco, cominciato nel pomeriggio di domenica è stato reso possibile da una vulnerabilità presente nei router che la Telekom tedesca offre in dotazione ai propri clienti. Ma non sembra trattarsi di un evento isolato. Dopo il primo momento di sconcerto, gli esperti che l’hanno analizzato hanno cominciato a ipotizzare che si tratti dell’ennesimo episodio della ‘guerra fredda’ tra le potenze mondiali che si contendono la supremazia del cyberspazio. E potrebbe essere la risposta russa alla dichiarazione della Nato che ha definito il cyberspazio il quinto dominio sottoposto alla sua protezione militare, dopo la terra, il mare, l’aria e lo spazio extra-atmosferico.

Per capire la gravità dell’accaduto basti pensare che la botnet Mirai è quella che il 21 ottobre scorso ha determinato il blocco temporaneo di Twitter, Amazon, New York Times e Amazon sulla costa est degli Stati Uniti. Una sua variante è stata usata due settimane fa per bloccare il traffico del maggior provider della Liberia, in Africa.

LA GUIDA Dieci cose da fare per proteggere la casa

Mirai è un malware che trasforma apparati informatici come le webcam e i router connessi a internet in computer zombie (bots) che possono essere risvegliati a comando da remoto e reclutati all’interno di botnet per condurre attacchi informatici di tipo DdoS (Sistributed Denial of Service), in genere con lo scopo di interrompere un servizio. Se queste negazioni di servizio influenzano il normale funzionamento delle infrastrutture critiche nazionali gestite via computer – oleodotti, dighe, aereoporti e ospedali – i danni possono causare situazioni di emergenza e anche molte vittime.

Secondo diverse fonti anche per l’attacco ai router della Telekom tedesca è stata usata una variante del software inizialmente diffuso nei forum underground da un sedicente hacker di nome Anna Senpai. Il codice era stato scritto per attaccare tutto tranne il sistema postale americano e la Difesa Usa. Distribuito con il codice sorgente era quindi disponibile a chiunque volesse metterne alla prova le capacità. E tuttavia avendo coinvolto ben 900 mila router casalinghi dell’azienda tedesca di telecomunicazioni, è evidente che il software ‘contagioso’ stava procedendo da tempo a costruire la sua botnet.

Secondo il tecnologo e scrittore di fantascienza Cory Doctorow, l’attacco potrebbe essere messo in relazione alla messa in vendita del codice che governa una botnet forte di 400mila dispositivi. A venderlo due cybercriminali, Bestbuy e Popopret, già coinvolti in casi di spionaggio informatico.

Nel caso dell’attacco ai router tedeschi l’Internet Storm Center Sans ha ricostruito che il tipo di attacco subito dalla Germania può sfruttare una falla di tipo ”Remote Code Execution (RCE) vulnerability” attraverso la porta 7547, una vulnerabilità presente nel firmware dei dispositivi Speedport routers, modello molto diffuso in Germania tra gli utenti del colosso tedesco.

È per questo motivo che si ritiene sia stato Mirai – ovvero una sua versione che implementa la capacità di ricercare in rete la falla (SOAP vulnerability). Ma secondo Shodan, motore di ricerca dell’hardware connesso in rete, il numero di potenziali vittime è di gran lunga superiore ai 900mila dispositivi affetti in Germania: sono circa 41 milioni di dispositivi presentano la porta 7547 aperta e quindi vulnerabile a eventuali attacchi.

In origine Mirai è stato programmato per scansionare la rete alla ricerca di dispositivi internet vulnerabili e ripararli, solo successivamente è stato usato per prenderne possesso e usarli come arma d’attacco. Ad aggravare la situazione è anche la disponibilità online del codice per sfruttare la falla in maniera automatica una volta individuati i dispositivi vulnerabili. Il SANS riferisce di un modulo informatico (Metasploit) utile a questo scopo criminale. Sempre secondo l’ICS SANS, la minaccia prova a sfruttare una falla all’interno del protocollo TR-069.

BadCyber, invece non ha dubbi: il responsabile dell’attacco alla rete tedesca è una versione Mirai che prende di mira dispositivi Eir D100 (Zyxel Modems) attraverso la porta 7547 e il protocollo TR-064. Il malware, una volta compromesso il router, esegue dei comandi per chiudersi alle spalla la porta 7547 in modo da blindare il dispositivo da altri attacchi, e impediscono tentativi con connessioni Telnet per ristabilirne il funzionamento attraverso l’interruzione del servizio.

Secondo l’esperto italiano del gruppo del G7, Pierluigi Paganini, che aveva messo i guardia su questi pericoli in un’intervista a Repubblica, questa tipologia di incidenti potrebbe divenire frequente se non si progettano opportunamente i firmware che sono eseguiti da dispositivi IoT (Internet delle cose) quali router, videoregistratori e televisioni a circuito chiuso. E aggiunge: ”Il principale problema risiede nel fatto che tali dispositivi sono talvolta difficili da aggiornare, talvolta un aggiornamento firmware è addirittura impossibile perché non previsto in fase di progettazione”. La stessa tesi di Martin McKeay di Akamai che ogni tre mesi fotografa lo stato di sicurezza della rete Internet nel famoso omonimo rapporto.

La soluzione? ”Sarebbe opportuno progettare i firmware in modo da poter consentire agli utenti di aggiornare il proprio software in maniera trasparente e senza richiedere specifiche conoscenze tecniche”, spiega Paganini. ”E alla luce di quanto accaduto in Germania il nostro CERT, con gli ISP ed i principali vendor di router, dovrebbero censire i dispositivi sul mercato e preoccuparsi di produrre eventuali aggiornamenti utili per proteggerli”.

Insomma,

l’urgenza adesso è mettere al sicuro tutti i dispositivi IoT e nel frattempo fare una cosa che spesso funziona con ogni apparato informatico: spegnere e riaccendere. Questa procedura automatizza l’aggiornamento dei software che comandano molti dei dispositivi che teniamo in casa.