È stata individuata una nuova variante della botnet Mirai che sfrutta 13 exploit contemporaneamente per attaccare vari modelli di router, tra cui quelli prodotti da D-Link, Linksys, Netgear e Huawei, ma anche videocamere di sicurezza e dispositivi di rete UPnP (Universal Plug and Play).
Dopo aver colpito i dispositivi della IoT e della Industrial IoT, i criminal hacker tornano dunque a sfruttare la botnet Mirai per riuscire a prendere il controllo di altri tipi di dispositivi di rete.
Indice degli argomenti
Botnet Mirai: la forza devastante di 13 exploit
Identificata come Backdoor.Linux.MIRAI.VWIPT dai ricercatori di sicurezza Trend Micro che per primi hanno intercettato le nuove attività malevoli grazie ai loro honeypot, l’ennesima variante di Mirai ha le tipiche funzionalità di backdoor e DDoS (Distributeed Denial of Service) di questa famiglia di botnet, ma si distingue come la prima ad utilizzare contemporaneamente tutti e 13 gli exploit (di cui alcuni già usati in passato) in un’unica campagna di attacco.
Grazie a questa sua “capacità” di sfruttare le vulnerabilità presenti nei dispositivi connessi a Internet, la nuova variante di Mirai consente ad un eventuale attaccante di effettuare attacchi di tipo RCE (Remote Code Execution), bypassare i sistemi di autenticazione dei dispositivi ed eseguire comandi da remoto per prenderne il pieno controllo.
Il malware che ha consentito ai criminal hacker di realizzare la botnet Mirai conferma dunque la sua lunga tradizione di infettare dispositivi della Internet of Things e dispositivi di rete mal configurati.
I dettagli tecnici della nuova variante della botnet Mirai
Dall’analisi della campagna di attacco della nuova variante della botnet Mirai si evince che il malware si diffonde sfruttando diversi canali di attacco e utilizza istruzioni in XOR per criptare i suoi dati.
Sono state isolate anche diverse URL utilizzate dalla botnet per comunicare con i suoi ideatori:
- hxxp://35[.]235[.]102[.]123:1337
- hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.arm7
- hxxp://ililililililililil[.]hopto[.]org/shiina/tmp.mips
- hxxp://ililililililililil[.]hopto[.]org/love.sh
In particolare, il primo indirizzo è quello del server C&C (Command & Control), mentre gli altri vengono utilizzati per scaricare altro codice malevolo e nuovi dropper (programmi creati per installare malware, virus o aprire una backdoor su un sistema controllato da remoto) sul computer compromesso.
Interessante notare come i criminal hacker utilizzino il servizio di DNS dinamico gratuito hopto in modo da non essere facilmente tracciabili.
L’esame del codice della nuova variante della botnet Mirai ha rivelato maggiori dettagli su come si diffonde e su come agisce. In particolare, i ricercatori di sicurezza hanno scoperto che 3 dei 13 exploit utilizzati da Mirai sono scanner specifici per colpire dispositivi Huawei e Linksys e per individuare eventuali vulnerabilità nel framework ThinkPHP.
Inoltre, è stato isolato anche il dizionario di username e password utilizzato dal malware per compiere attacchi di tipo brute force necessari per violare le credenziali di accesso dei dispositivi connessi a Internet.
I consigli per difendersi
Le caratteristiche di attacco della nuova variante suggeriscono anche le migliori tecniche da usare per difendersi.
Innanzitutto, occorre cambiare subito le password predefinite per i dispositivi connessi a Internet non appena vengono collegati alla rete locale dell’azienda: in questo modo è possibile neutralizzare eventuali attacchi di tipo brute force.
È quindi importante seguire queste regole basilari di sicurezza informatica:
- installare le patch e gli aggiornamenti su tutti i dispositivi e i sistemi non appena questi vengono rilasciati, aggiornamenti del firmware compresi;
- controllare il volume di traffico che proviene da ciascun dispositivo: i dispositivi infetti sono caratterizzati da un traffico decisamente più elevato;
- adottare una policy efficace in fatto di password anche per i dipendenti (le combinazioni devono essere complesse e comprendere lettere maiuscole, minuscole, numeri e simboli);
- riavviare un dispositivo se si pensa che stia lavorando in modo anomalo.
Soprattutto in ambito aziendale, infine, è necessario prestare particolare attenzione nella scelta dei prodotti da collegare a Internet e tenere in considerazione non solo le misure di sicurezza adottate ma anche la frequenza con cui vengono rilasciati eventuali aggiornamenti.
