Mirai colpisce ancora

Ripubblicato da Platone

Seguaci: 0

Roulette WordPress Momento della lettura: 4 verbale

Mirai colpisce

È bastato un malware per farlo modulo una botnet che ha reso inaccessibile a molti Internet basato su domini sulla costa orientale degli Stati Uniti e in Europa il 21 ottobre 2016. È stato il più grande attacco informatico a causare tempi di inattività di Internet nella storia degli Stati Uniti. Stiamo arrivando al secondo anniversario della famigerata botnet Mirai.

Una botnet è quando molti computer vengono infettati da malware zombi che consente loro di essere controllati da un server centrale al fine di condurre attacchi informatici con la loro potenza di elaborazione collettiva e larghezza di banda. Sono un modo popolare per condurre il denial of service distribuito (DDoS) attacchi che può eliminare tutti i tipi di diversi tipi di dispositivi di rete e server Internet. Gli attacchi Denial of Service vengono implementati travolgendo una destinazione di rete con pacchetti fino a quando il suo buffer di memoria non viene riempito oltre la capacità e viene forzato a chiudersi. La parte distribuita implica che molti computer sono coordinati nel condurre un attacco denial of service.

Mirai ha cercato su Internet dispositivi IoT (Internet of Things) attraverso la porta Telnet. Se un dispositivo avesse una porta Telnet aperta, il malware Mirai ci proverebbe una combinazione di 61 combinazioni predefinite note di nome utente e password per trovarne uno che gli consenta di autenticarsi in modo dannoso. Se una combinazione ha funzionato, il dispositivo è stato aggiunto all'enorme e crescente botnet Mirai. La maggior parte dei dispositivi infettati dal malware Mirai erano telecamere e router TV a circuito chiuso collegati a Internet.

Il primo grande attacco al server Internet condotto dalla botnet Mirai mirava OVH, un fornitore di servizi cloud francese. Due attacchi DDoS con una larghezza di banda fino a 799 Gbps hanno abbattuto alcuni server Minecraft ospitati da OVH. A quel punto, la botnet era composta da 145,607 dispositivi.

Il ricercatore di malware Comodo Venkat Ramanan ha osservato la botnet Mirai sin dalla sua scoperta. "Il primo incidente della botnet Mirai è stato individuato nell'agosto 2016. Milioni di attacchi di dispositivi IoT sono stati rilevati nello stesso anno. La banda criminale informatica di Mirai ha caricato il codice sorgente di Mirai su Github nell'ottobre 2016. "

Il 21 ottobre 2016, la botnet Mirai ha raggiunto la rete Dyn dei server DNS. I server DNS risolvono i nomi di dominio (come google.com) in indirizzi IP (come 8.8.8.8) in modo che gli esseri umani non debbano ricordare quegli indirizzi IP per accedere ai servizi Internet. Dyn è un provider DNS ampiamente utilizzato, quindi i loro tempi di inattività hanno reso l'accesso a Internet basato su dominio inaccessibile a molte persone. Dyn rilasciò la sua analisi dell'attacco dopo la loro risposta all'incidente:

"Venerdì 21 ottobre 2016 dalle 11:10 UTC alle 13:20 UTC e poi ancora dalle 15:50 UTC alle 17:00 UTC, Dyn è stata attaccata da due attacchi DDoS (Distributed Denial of Service) di grandi dimensioni e complessi contro la nostra infrastruttura DNS gestita. Questi attacchi sono stati mitigati con successo dai team di ingegneria e operazioni di Dyn, ma non prima che i nostri clienti e i loro utenti finali avvertissero un impatto significativo.

Il primo attacco è iniziato intorno alle 11:10 UTC di venerdì 21 ottobre 2016. Abbiamo iniziato a vedere un'elevata larghezza di banda contro la nostra piattaforma DNS gestita nelle regioni dell'Asia del Pacifico, del Sud America, dell'Europa orientale e degli Stati Uniti occidentali che si sono presentate in un modo tipicamente associato con un attacco DDoS...

Questo attacco ha aperto una conversazione importante sulla sicurezza e la volatilità di Internet. Non solo ha messo in evidenza le vulnerabilità nella sicurezza dei dispositivi "Internet of Things" (IoT) che devono essere affrontate, ma ha anche innescato un ulteriore dialogo nella comunità delle infrastrutture Internet sul futuro di Internet. Come abbiamo fatto in passato, non vediamo l'ora di contribuire a quel dialogo ".

L'attacco non solo ha attirato l'attenzione su quanto possano essere vulnerabili i dispositivi IoT, ma è stato anche un eccellente promemoria per modificare sempre le impostazioni predefinite sui dispositivi connessi a Internet, in particolare nomi utente e password!

Bene, ora Mirai è tornato e più cattivo che mai. Una delle sfide dello sviluppo di malware IoT è quanto i dispositivi IoT siano molto diversi tra loro. C'è un'enorme diversità nei dispositivi IoT perché possono manifestarsi come qualsiasi cosa, dai controller industriali ai dispositivi medici, dai giocattoli per bambini agli elettrodomestici da cucina. Possono eseguire una moltitudine di diversi sistemi operativi e software incorporato, quindi il codice dannoso che può sfruttare le vulnerabilità su un determinato dispositivo di solito non può sfruttare la maggior parte degli altri dispositivi. Ma con l'aiuto del progetto Aboriginal Linux, l'ultimo malware Mirai può sfruttare un'ampia gamma di dispositivi IoT. Un ricercatore di malware lo ha scoperto in natura:

"Alla fine di luglio, mi sono imbattuto in un server remoto attivo che ospita più varianti di malware, ciascuna per una piattaforma specifica. Come con molte infezioni di Mirai, inizia sparando uno script di shell su un dispositivo vulnerabile. Lo script della shell tenta in sequenza di scaricare ed eseguire i singoli eseguibili uno per uno fino a trovare un binario conforme all'architettura corrente ...

Mentre questo è un comportamento simile alle varianti di Mirai che abbiamo visto finora, ciò che lo rende interessante è il binario compilato. Queste varianti sono state create sfruttando un progetto open source chiamato Aboriginal Linux che rende il processo di compilazione incrociata semplice, efficace e praticamente a prova di errore. Va notato che non c'è nulla di dannoso o sbagliato in questo progetto open source, gli autori di malware stanno ancora una volta sfruttando strumenti legittimi per integrare le loro creazioni, questa volta con un'efficace soluzione di compilazione incrociata.

Dato che la base di codice esistente è combinata con un elegante framework di compilazione incrociata, le varianti di malware risultanti sono più robuste e compatibili con più architetture e dispositivi, rendendolo eseguibile su una vasta gamma di dispositivi che vanno da router, telecamere IP, dispositivi connessi, e persino dispositivi Android. "

Se si dispone di dispositivi IoT che eseguono una versione di Linux o Android e si desidera rafforzare la sicurezza rispetto a quest'ultima versione di Mirai, ecco cosa è possibile fare. Disabilitare gli accessi Telnet, se possibile, e bloccare del tutto la porta Telnet. Se stai utilizzando nomi utente e password predefiniti, modificali! Disabilita Universal Plug and Play (UpnP) se puoi, e distribuisci Ethernet cablata al posto del WiFi se puoi. Se è necessario utilizzare il WiFi, connettersi solo al WiFi crittografato (WPA2 o WPA3 imminente è il migliore) e disporre di una password complessa per il punto di accesso wireless.

Risorsa correlata:

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE