Mirai si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi
In tilt siti come Twitter, Netflix, Reddit, CNN e molti altri
Venerdì 21 ottobre, gran parte di Internet è diventata inaccessibile: sono andati in tilt siti popolarissimi come Twitter, Netflix, Reddit, CNN e molti altri. Non per un guasto, ma per un attacco, effettuato con una tecnica molto particolare: gli aggressori hanno preso il controllo di un elevatissimo numero di telecamere, videoregistratori digitali, tostapane, forni a microonde e lavatrici connessi a Internet e li hanno indotti a inondare di traffico dati un fornitore di servizi, Dyndns. Dyndns è un servizio che “trasforma” in tempo reale l’indirizzo digitato nella barra di ricerca di un comune browser (Internet explorer o firefox per esempio) in una sequenza di numeri (indirizzo ip) per far sì che ci si connetta alla pagina internet richiesta. E’ molto più semplice scrivere e ricordare ad esempio www.google.it che una sequenza di numeri…
Ma torniamo al nostro attacco: saturando Dyn, questa rete di dispositivi (botnet) ha mandato in crisi i sistemi di risoluzione dei nomi dei siti. Le stime aggiornate, a una settimana dall’attacco, parlano di circa centomila dispositivi comandati a distanza tramite un malware denominato Mirai, che si diffonde da solo sfruttando la pessima sicurezza dei dispositivi connessi a Internet, in particolare contenenti componenti di rete fabbricati dalla marca cinese XiongMai Technologies, che hanno password di amministrazione banali, fisse e non modificabili ma soprattutto note a chiunque, come admin, 123456 o password. Il malware, in sintesi, entrava in questi dispositivi dalla porta principale tentando un breve elenco di password standard fino a trovare quella giusta e poi iniziava a trasmettere dati in quantità verso Dyn e altri bersagli, saturandoli.
Come funziona Mirai
Avete presente la tanto strombazzata Internet delle Cose, che consente a frigoriferi, forni, caloriferi, macchine del caffè, tostapane e chi più ne ha più ne metta, di collegarsi a Internet?
Potenzialmente si tratta di tanti dispositivi che, una volta infettati da Mirai, entrano a far parte di una botnet, cioè una rete sotto il controllo di criminali informatici e pronta a lanciare attacchi DDOS (trasmissione di pacchetti di dati in quantità molto elevata verso lo stesso server).
Mirai passa al setaccio Internet andando a caccia di apparecchi IoT (Internet of Things, internet delle cose…). Quando ne trova, verifica se nome utente e password di accesso al software di gestione siano quelli predefiniti di fabbrica. E, se è così, entra nella memoria e la infetta. Mirai si elimina facilmente, basta resettare l’oggetto in questione e in automatico verrà “sganciato” dalla botnet.
Il problema però è che Mirai sonda di continuo la rete alla ricerca di nuovi dispositivi da infettare e quindi il nostro tostapane verrebbe nuovamente hackerato. Basterebbe semplicemente entrare nel nostro dispositivo e modificare i parametri di accesso, operazione però per lo più impossibile da fare per le limitazioni dell’apparecchio stesso o comunque troppo difficile da eseguire dall’utente medio.
Insomma tutto alla fine si riconduce alla solita, stupida, ridicola presenza di password deboli.
Luca Pietropaolo