Questa botnet per quattro anni è stata la piaga di Internet e utilizzata come trampolino di lancio per numerosi attacchi DDoS. Nel 2016, la botnet ha paralizzato un ISP tedesco, l’intera connessione Internet della Liberia, i servizi DNS di Dyn.com (ora di proprietà di Oracle) e il sito Web di Brian Krebs.
Era unica nel suo genere perché impiegava oltre 24.000 dispositivi IoT comprese webcam, numerosi router domestici e altri dispositivi intelligenti. Anche le sue dimensioni erano significative: quando Krebs è stato preso di mira, era la più grande serie di attacchi DDoS mai vista prima, con cinque eventi separati che indirizzavano più di 700B bit al secondo di traffico sul suo server web.
Da quei giorni, Mirai ha continuato a guadagnare popolarità. Il suo codice sorgente è stato pubblicato su GitHub poco dopo questi primi attacchi nel 2016, dove è stato scaricato migliaia di volte e ha costituito la base per un vero e proprio DDoS-as-a-service per i criminali. Mesi dopo, Krebs ha descritto come ha scoperto la vera identità del leaker. Ne abbiamo parlato nel 2018, quando i ricercatori di Avast si sono imbattuti in una nuova variante chiamata Torii. Aveva più componenti invisibili ed era utilizzata per rubare informazioni piuttosto che coordinare attacchi DDoS. Torii ha anche ampliato le fonti botnet oltre i dispositivi IoT e includendo un’ampia gamma di sistemi operativi e chipset da sfruttare. Alla fine, tre autori Mirai sono stati multati e condannati a cinque anni di libertà vigilata, in parte per aver collaborato con i pubblici ministeri nel contrastare altri attacchi.
Le ultime su Mirai
Mirai è ancora in giro e viene utilizzata per nuovi scopi malevoli. L’anno scorso, i ricercatori hanno trovato una variante di Echobot, che è degna di nota in quanto contiene 71 diversi exploit conosciuti incorporati insieme a più di una dozzina di nuovi che non sono mai stati utilizzati in precedenza. Un post su ZDnet a marzo ha rivelato la variante chiamata Mukashi che sfruttava i dispositivi di archiviazione collegati alla rete Zyxel (L’azienda ha rilasciato rapidamente una patch del firmware). A luglio, altri ricercatori hanno scoperto una nuova vulnerabilità in una raccolta di router basati su Linux. Poi, a ottobre, sono state scoperte due nuove vulnerabilità che hanno dimostrato come Mirai potesse sfruttare il servizio di network time. Sono state trovate quattro nuove varianti che implicano l’iniezione di comandi per scaricare script shell. Queste varianti erano Mirai classiche in quanto i dispositivi sfruttati venivano utilizzati come parte degli attacchi botnet DDoS.
Chiaramente, Mirai sta continuando a donare nuovi “regali”.
Soluzioni consigliate
Ci sono molte cose che i responsabili IT delle aziende possono fare per ridurre la forza di Mirai o addirittura di qualsiasi attacco DDoS. Prima di tutto, ecco alcune strategie di contrasto agli attacchi DDoS consigliate che vale la pena leggere. Avast Omni è un potente strumento per la protezione dagli attacchi basati sull’IoT. Bisognerebbe inoltre accertarsi di modificare le password predefinite di fabbrica su tutte le apparecchiature di rete , ricordiamo infatti come Mirai abbia proprio sfruttato queste password di default per includere nei suoi attacchi molteplici tipi di endpoint e di altri dispositivi come webcam e router.
Lascia un commento