Mirai, la botnet contro la Rete tedesca

Una falla permette di compromettere un gran numero di router forniti da Deutsche Telekom in giro per la Germania, un problema che sussiste anche in altre parti del mondo. Altrove, i criminali offrono la loro "botnet-come-servizio" via Tor
Una falla permette di compromettere un gran numero di router forniti da Deutsche Telekom in giro per la Germania, un problema che sussiste anche in altre parti del mondo. Altrove, i criminali offrono la loro "botnet-come-servizio" via Tor

Una nuova vulnerabilità “di sistema” è alla base dell’ennesimo caso di cyber-attacco ad alto profilo, un tentativo di compromettere una gran quantità di router domestici che per ora si è limitato a mandare in crash la connessione di un milione di utenti residenti in Germania .

Deutsche Telekom ha parlato infatti di un 5 per cento dei suoi 20 milioni di abbonati coinvolti nell’attacco, con i router prodotti da Zyxel e Speedport attaccati da una versione del worm Mirai modificata per prendere di mira la porta 7547 ; quella stessa porta tenuta aperta dall’ISP per ragioni di assistenza remota, potenzialmente sfruttabile per tentare esecuzioni di codice malevolo da remoto.

Il tentativo di attacco ha avuto un effetto diverso da quello che – con tutta probabilità – avevano previsto i cyber-criminali, visto che i router domestici vulnerabili sono semplicemente finiti in crash lasciando gli utenti senza connessione Internet durante il weekend fino a questo lunedì.

Resta la pericolosità di Mirai, un worm che si dimostra sempre più malleabile e dannoso dopo la pubblicazione del codice sorgente e l’attacco DDoS contro il provider di servizi DNS americano Dyn . Anche la possibilità di compromissione dei router domestici altrove in Europa non è da sottovalutare, visto che l’abitudine di tenere aperta una porta per l’assistenza remota (magari diversa dalla 7547) non è certo esclusiva del provider teutonico.

Quel che è certo è che Mirai continua a farsi notare come una “proposta” in ascesa nell’ambito dell’underground telematico, gli attacchi DDoS sono destinati a crescere in numero e intensità mentre i criminali più intraprendenti stanno già provando a trasformare il malware in un vero e proprio business: due ignoti “businessman” del codice malevolo ( Bestbuy e Popopret ) offrono una botnet Mirai di 400.000 dispositivi IoT compromessi in affitto, con prezzi variabili a seconda del numero di bot, dei tempi di attacco e del periodo di “cooldown” (tempo intercorso tra un attacco e l’altro).

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

29 11 2016
Link copiato negli appunti