I ricercatori di sicurezza della Unit 42 di Palo Alto Networks hanno scoperto una nuova variante della famigerata botnet Mirai, che già in passato ha preso di mira i dispositivi della Internet of Things.
Questa volta, le “attenzioni” dei criminal hacker sono rivolte ai dispositivi embedded destinati all’uso in ambienti aziendali. Il motivo è presto spiegato: i dispositivi della Industrial IoT sfruttano una maggiore larghezza di banda e prenderne il controllo significa riuscire ad effettuare devastanti attacchi di tipo DDoS.
Individuato per la prima volta nel 2016, Mirai è un worm che ha la capacità di infettare router, telecamere di sicurezza, DVR e tutti quegli altri dispositivi intelligenti che tipicamente utilizzano credenziali predefinite ed eseguono versioni obsolete di Linux.
Occorre ricordare, inoltre, che i criminal hacker che hanno dato vita alla botnet Mirai sono già stati arrestati, ma varianti del worm della internet degli oggetti continuano ad emergere grazie alla disponibilità del suo codice sorgente.
Indice degli argomenti
I dettagli della nuova variante della botnet Mirai
Analizzando il report dei ricercatori di Paolo Alto si scopre che la nuova variante della botnet Mirai è stata individuata per la prima volta lo scorso mese di gennaio e per allargare il più velocemente possibile il suo campo di azione sfrutta 11 nuovi exploit che si vanno ad aggiungere ai 16 già identificati negli anni passati.
I criminal hacker, inoltre, sarebbero riusciti ad entrare in possesso di un altro elenco di credenziali di accesso ai dispositivi della IIoT (Industrial Internet of Things) da sfruttare negli attacchi di tipo brute force usati per prenderne il controllo.
In particolare, la nuova variante della botnet Mirai sfrutta un exploit per l’esecuzione del codice remoto identificato nei dispositivi LG Supersign TV (e classificato come CVE-2018-17173) e un altro di tipo command-injection già pubblicato nel 2017 che sfrutta una vulnerabilità dei dispositivi per presentazioni WePresent WiPG-1000.
Oltre a questi due exploit, la nuova variante di Mirai è in grado di colpire anche vari altri tipi di dispositivi hardware embedded tra cui:
- router Linksys
- router ZTE
- router DLink
- dispositivi di storage di rete
- NVR e telecamere IP
Dopo aver individuato possibili dispositivi vulnerabili, il malware Mirai scarica il nuovo payload da un sito web compromesso e lo copia nella memoria del dispositivo target, che in questo modo entra immediatamente a far parte della botnet e potrà essere utilizzato per devastanti attacchi di tipo HTTP Flood DDoS. Attacchi che, già in passato, hanno colpito il provider di hosting francese OVH e il servizio Dyn DNS, paralizzando alcuni dei più grandi siti del mondo tra cui Twitter, Netflix, Amazon e Spotify.
Queste particolari caratteristiche tecniche, insieme alla storia già nota di Mirai e al fatto di prendere di mira grandi aziende, rendono la nuova variante della botnet particolarmente pericolosa. Secondo Victor Chebyshev, Security Expert di Kaspersky Lab, “la scoperta di una nuova variante della botnet Mirai, in grado di prendere di mira una gamma piuttosto ampia di dispositivi connessi, in particolare all’interno delle grandi realtà aziendali, porta con sé importanti implicazioni per gli amministratori di sistemi delle imprese industriali”.
Secondo l’esperto di sicurezza “questo scenario è stato visto più e più volte, con ondate di nuove varianti e attacchi. Le ragioni sono tante. In primo luogo, il codice sorgente del malware Mirai è trapelato qualche tempo fa e ora può essere sfruttato da qualsiasi cyber criminale con competenze in fatto di programmazione. In secondo luogo, il codice è abbastanza flessibile e universale, quindi è possibile creare delle botnet di vari livelli di complessità e per scopi diversi, adattabili a qualsiasi architettura hardware. Ultima cosa, ma non meno importante: il codice può funzionare in combinazione con gli exploit che sfruttano le vulnerabilità, ampliando così la gamma dei metodi in grado di compromettere la protezione di un dispositivo”.
“Quest’ultimo aspetto è”, a parere ancora di Victor Chebyshev, “il più pericoloso, dal momento che rileviamo sempre più attacchi che mettono in campo nuovi exploit. Possono colpire un dispositivo in modo più veloce ed efficace rispetto al canonico uso di tecniche di “brute forcing” per le password, accelerando così il processo di infezione e l’espansione della botnet stessa. Questa notizia suggerisce anche che gli autori della minaccia stanno continuando a sviluppare attivamente il malware Mirai. Questo significa anche che la ricerca di nuove vulnerabilità da integrare nel payload del malware o da uploadare in modo dinamico è destinata a continuare anche in futuro”.
“La situazione è resa ancora più grave”, conclude l’esperto di sicurezza, “dal fatto che il codice di Mirai viene costantemente aggiornato per evitare di essere rilevato dalle soluzioni di sicurezza. Pertanto ci aspettiamo di assistere a nuove ondate di infezioni da parte di Mirai che si diffonderanno tra i nuovi dispositivi IoT, dispositivi per i quali non vengono rilasciate per tempo delle patch o che non sono protetti da soluzioni di sicurezza”.
Come difendersi dalla nuova variante della botnet Mirai
Che fare, dunque, per alzare una barriera protettiva contro la nuova variante della botnet Mirai e mettere al sicuro i dispositivi della Industrial IoT?
Innanzitutto, occorre cambiare subito le password predefinite per i dispositivi connessi a Internet non appena vengono collegati alla rete locale dell’azienda.
Inoltre, per evitare che i device, personali o aziendali, diventino vittime della botnet Mirai è importante:
- installare le patch e gli aggiornamenti su tutti i dispositivi e i sistemi non appena questi vengono rilasciati, aggiornamenti del firmware compresi;
- controllare il volume di traffico che proviene da ciascun dispositivo: i dispositivi infetti sono caratterizzati da un traffico decisamente più elevato;
- adottare una policy efficace in fatto di password anche per i dipendenti (le combinazioni devono essere complesse e comprendere lettere maiuscole, minuscole, numeri e simboli);
- riavviare un dispositivo se si pensa che stia lavorando in modo anomalo. Bisogna sempre tenere presente il fatto che, se in questo modo si può interrompere un’eventuale infezione da malware in corso, da solo il device non sarà in grado di ridurre il rischio di possibili altre infezioni.
