Seleziona una pagina

Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l’inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l’estate e l’autunno 2016, quando riuscì a diffondersi in migliaia di router e videoregistratori (distribuito tramite smart camera e sistemi di telecamere a circuito chiuso). 
La botnet Mirai è una infrastruttura già usata per lanciare una lunga serie di attacchi, uno dei quali contro il blog KrebsONSecurity: l’attacco attirò  le attenzioni delle forze di Polizia, obbligando l’autore del malware e pubblicare in rete il codice sorgente del malware. Questa mossa ha fatto sì che spuntassero decine di varianti di Mirai e che le tracce dello sviluppatore originale si confondessero ancora di più.
La nuova versioneLa nuova variante di Mirai è stata individuata a fine Gennaio e sfrutta una serie impressionante di exploit: 27 per la precisione, di cui 11 assolutamente nuovi e mai riscontrati in attacchi reali. 
I bersagli prediletti di questa versione sono i sistemi WePresent WiPG-1000 e le TV e LG Supersign: entrambi questi dispositivi sono utilizzati in ambiti aziendali. Nel caso delle TV LG la vulnerabilità sfruttata è la CVE-2018-17173, un bug che, gestendo in maniera scorretta alcuni parametri, lascia aperta all’attaccante la possibilità di eseguire codice da remoto. Per i sistemi WePresent invece la tecnica è quella dell’iniezione di comandi. Altri dispositivi presi di mira sono router e videocamere di sorveglianza, a ribadire ancora che il mondo dei dispositivi IoT deve ancora fare molti passi avanti dal punto di vista della cyber security. Infatti, oltre ai nuovi exploit, questa versione di Mirai utilizza ancora (e con successo) le credenziali predefinite dei dispositivi. 

Altri dispositivi bersaglio sono:

  • router Linksys,
  • router ZTE,
  • router DLink, 
  • dispositivi di storage di rete, 
  • NVR  e telecamere IP.

Che cosa fa Mirai?In breve Mirai è un malware che infetta dispositivi IoT per renderli nodi di una botnet. Questa infrastruttura viene quindi usata per portare attacchi DDoS di piccole, medie e ampie dimensioni. Il fatto che questa versione colpisca principalmente dispositivi usati in ambito aziendale la rende molto preoccupante, poichè in questo caso i cyber attaccanti avrebbero a disposizione collegamenti a banda larga che gli utenti home non hanno: una botnet con tali caratteristiche ha un potenziale decisamente superiore rispetto a quanto visto fino adesso.